Synthèse

Cet article donne un aperçu des obligations règlementaires s'appliquant aux Infrastructures Informatiques décrites principalement dans les BPF européennes (Annexe 11) et dans les guides PIC/S. Une analyse succincte de l'approche basée sur les risques pour la mise en conformité GxP des Infrastructures Informatiques décrite par l'ISPE dans le GAMP GPG  IT Infrastructure : Control and Compliance y est également évoqué.


Historique

Les exigences règlementaires s'appliquent à l'informatique des sociétés pharmaceutiques depuis 1978 et la parution de la section 21CFR 211.68 (a) de la FDA (Food & Drug Administration). Par la suite, en 1997, ces exigences ont été précisées dans le document 21 CFR Part 11 de la FDA et dans la première version des BPF européennes (Annexe 11), en définissant notamment la notion de Validation des systèmes informatisés traitant des données soumises à régulation. 

Toutefois, il est remarquable qu'aucun de ces textes ne traite spécifiquement de l'Infrastructure Informatique mais ne la spécifie que de manière indirecte comme faisant partie intégrante des "systèmes informatisés.  Aujourd'hui, avec la Mobilité, le développement du Cloud, et l'interconnection rendant les systèmes toujours plus imbriqués et interdépendants, les systèmes sont complexes et s'appuient sur une "Infrastructure Informatique" qui mérite un traitement de validation (qualification) spécifique. En effet, sans infrastructure informatique, le système ne peut pas être opérationnel. En conséquence, il est devenu impossible d’exclure ou d’ignorer des éléments de l’infrastructure du périmètre du système, y compris pour la validation.

C'est ce qu'ont bien compris les membres de l'ISPE lorsqu'ils ont produit, en 2005, un guide destiné à assister les sociétés pharmaceutiques dans la validation des plateformes d'Infrastructure Informatique. Ce document, le GAMP Good Practice Guide IT Infrastructure : Control and Compliance est la véritable bible de la qualification d'Infrastructure Informatique et fait toujours référence aujourd'hui.

D'autant plus que les inspecteurs sont armés de documents tels que les "PIC/S Guidance PI 011-3" qui précisent de manière détaillée les points clés des Infrastructures Informatiques devant être contrôlés tels que :

  • Les informations physiques et logiques concernant la sécurité des infrastructures
  • L'attachement des transactions à un système de date tenant compte des fuseaux horaires
  • L'attribution des tâches autorisées suivant un profil utilisateur
  • L'authentification des utilisateurs dans le système avec mot de passe et log-on unique
  • Les Audit trails
  • et bien d'autres points ...

Enfin, il est à noter que l'Europe est restée à la pointe avec des parutions de versions successives de l'EudraLex Volume 4, Annexe 11 dont la dernière version, datant de 2011, précise par exemple que " l’application doit être validée et l’infrastructure informatique doit être qualifiée" ce qui reste à ce jour la première référence règlementaire directe à l'obligation de qualification de l'Infrastructure Informatique.

L'Infrastructure Informatique et les GxP

L'Infrastructure Informatique peut se définir comme étant "l'ensemble des éléments matériels, logiciels et d'environnement qui supportent et garantissent le fonctionnement du système d'information conformément à un niveau de service attendu" ou encore comme "l'ensemble des composants transverses ou spécifiques (E.C = Elément de Configuration), organisés - ou non - en plateforme, supportant les processus métier de l'entreprise et assurant le bon fonctionnement des applications métier. Celle-ci constitue un système par lequel transitent, sont traitées ou enregistrées les informations nécessaires au métier.

La validation des applications informatiques traditionnelles est un sujet assez bien maitrisé dans l'industrie. Sans vouloir occulter les méthodes de type Agile très en vogue actuellement, il faut rappeler que des méthodes rodées telles que le modèle en V basé sur l'évaluation des Risques de l'ISPE Good Automated Manufacturing Practice (GAMP) sont particulièrement bien adaptées à la validation d'éléments intangibles telles que les applications informatiques.

Toutefois, l'Infrastructure Informatique est une nébuleuse en perpétuelle évolution ! La forme éminemment changeante des éléments réseaux qui la compose, aggravé par la nature souvent non-déterministe des protocoles réseaux qu'elle utilise, rendent très difficile, et surtout illusoire, d'essayer de la "valider" de façon formelle. C'est pourquoi le terme de "Qualification d'Infrastructure" ou plus précisément de "Mise en Conformité de l'Infrastructure Informatique" doit être employé car il est bien plus adapté à la réalité du terrain. 

Enfin, les GxP impactent fortement l'Infrastructure Informatique dès lors que des données critiques ("Regulated Data") peuvent être crées, être manipulées ou même seulement transiter par les systèmes supportés par l'Infrastructure Informatique. Dans le cas de systèmes supportant des flux GxP et non-GxP, quel que soit le volume de données GxP transportées, c'est ce critère de support de données régulées qui conduit à considérer que l'Infrastructure Informatique en question est GxP !

On parlera alors de "Mise en Conformité GxP de l'Infrastructure Informatique".

Les étapes de la Qualification

Conformément à l’approche dite « Cycle de Vie » décrite dans l’ASTM E2500, elle-même reprise dans le guide GAMP 5 et détaillée dans GPG : IT Infrastructure Control and Compliance, la "mise en conformité de l'Infrastructure Informatique" et son maintien en état "qualifié" consiste essentiellement à mettre en application les trois étapes principales suivantes :

  1. Etape préliminaire : 
    • Découpage de l'Infrastructure en sous-ensembles autonomes pouvant être qualifiés en suivant une procédure, rédaction d'un plan directeur de qualification listant les différents "composants d'Infrastructure" (cf. GAMP 5 [Appendix M1, M7], Annexe 11 - Principle)

 

  1. Qualification initiale : 
    • Après qu'un composant d'infrastructure ait été sélectionné ou conçu, il doit être évalué et testé afin de vérifier qu'il est capable d'opérer de manière satisfaisante à l'intérieur des limites opérationnelles requises par le processus (cf. ASTM E2500, GAMP 5, 21 CFR part 11)
    • Ces activités doivent être documentées, vérifiées et testées dans le but d'établir la preuve de la conformité de l'équipement avec l'environnement règlementaire (21 CFR 211.68, 21 CFR part 11 (a), Annexe 11 [Principle])
    • Une approche basée sur les Risques doit être appliquée afin de définir le périmètre et la profondeur des tests associés (cf. ASTM E2500, GAMP [et Annexe 11 [1])

 

  1. Maintien de l'état qualifié : 
  • Nécessite des processus transverses et imbriqués (basés sur la méthodologie ITIL[1]) afin de contrôler les évolutions de l'Infrastructure IT : Gestion des configurations, des changements, des incidents, des problèmes ... (cf. Annexe 11 [10, 13], PIC/S guidance PI 011-3, GAMP 5 [Appendix M8], GPG IT Infra [6.1, 6.2, 6.3])
    • Afin de garantir le maintien nécessaire de l'état qualifié des composants d'infrastructure supportant les données critiques (GxP) tout au long du cycle de vie de l'application (cf. Annexe 11 [4.2] et 21 CFR part 11)
  • Nécessite la mise en place et le suivi d'une Gestion des Risques telle que définie précédemment
    • Car les risques associés aux données critiques définissent le périmètre et la profondeur de la qualification de l'infrastructure supportant ces données (cf. GAMP 5 [Appendix M3], GPG IT Infra [4, Appendix 2], Annexe 11 [1])
  • Nécessite la mise en place d'une Gestion de la performance (SLAs, Monitoring, rapports ...) cf. GPG IT Infra [6.11], Annexe 11 [4.6, 11]
    • Afin de vérifier que l'application est toujours conforme aux exigences décrites dans ces spécifications et de s'assurer de l'intégrité des données critiques (cf. Annexe 11 [4.6] et PIC/S guidance PI 011-3)
  • Enfin, nécessite la mise en place de processus couvrant les exigences spécifiques des BPF telles que confidentialité des données, audit-trails, signatures électroniques, durée de conservation, libération des lots etc ... (cf. Annexe 11 [5, 7, 9, 14, 15] )



[1] ITIL : IT Infrastructure Library

Eléments clés des obligations réglementaires

Pour résumer, les activités nécessaires pour respecter les obligations règlementaires en matière de qualification d'Infrastructure Informatique sont :

  • La revue de la conception des composants de l'infrastructure (possibilité de création d'une CMDB[2] GxP servant de Baseline)
  • L'analyse des risques associés à chacun de ces composants et la mise en place d’une matrice de traçabilité (Spécifications, Risques, Tests)
  • La vérification de leur installation de façon conforme
  • Leur évaluation incluant des tests en environnement opérationnel

puis

  • La mise en place de processus transverses opérationnels s'appuyant sur les Bonnes Pratiques ITIL comme clairement indiqué dans la version 5 du GAMP et dans le GPG : IT Infrastructure Control and Compliance

Ces activités doivent être documentées, vérifiées et testées dans l'objectif de prouver que l'Infrastructure Informatique correspond à des besoins prédéfinis et qu'elle a été réalisée en suivant une méthode reproductible.

 

De plus, tous les changements intervenant sur les équipements et/ou sur l'environnement opérationnel doivent être soumis à un processus de Gestion du Changement. L'autorité règlementaire attend donc des sociétés pharmaceutiques qu'elles conservent une documentation adéquate (débat : format papier vs enregistrement électronique cf. 21 CFR part 11) pour démontrer que des procédures sont en place pour établir que l'usage de l'Infrastructure Informatique est conforme aux Bonnes Pratiques, et ce pendant toute la durée de vie de cette Infrastructure.

En se fondant sur les exigences règlementaires et sur les Bonnes Pratiques actuelles, lesquelles ont d'ailleurs été intégrées au niveau normatif (cf. ISO 20000), on peut affirmer que la mise en place d'un outil ITSM pour gérer, et surtout tracer, toutes les évolutions intervenant immanquablement dans les environnements supportant les applications modernes, sera un plus indéniable pour apporter en permanence la preuve de l'état qualifié de cette Infrastructure.



[2] CMDB : Configuration Management Data Base, Base de données structurante, concept développé dans ITIL