Conformité Azure



La conformité GxP d’Azure est un enjeu majeur pour les laboratoires pharmaceutiques qui

souhaitent s’appuyer sur l’offre Cloud de Microsoft. Sans elle, aucune application

réglementée ne peut être installée ou conçue sur Azure.​


Comme dans toutes les industries fortement réglementées, la conformité est souvent synonyme de papier, et l’on pressent bien ici qu’à l’âge du digital, de l’agilité et de l’infrastructure as a code, le glas de la conformité papier raisonne aux portes du bon sens.​


Les organisations doivent être en mesure de sélectionner un fournisseur de services Cloud avec des processus et des contrôles qui contribuent à garantir la confidentialité, l'intégrité et la disponibilité des données stockées sans perdre les bénéfices attendus du Digital. ​


Azure offre un panel d’outils qui vont dans ce sens : ​

  • Azure Ressource Manager Templates ​

  • Azure Policy ​

  • Azure Blueprints

Veuillez en trouver une description ci-dessous.

Azure Templates : « Qualify once, use many times »


Le service Azure Resource Manager « Templates »  permet de définir des modèles et de les utiliser en guise de référence pour les installations ou déploiements. 


Le modèle est un fichier JavaScript Object Notation (JSON) qui définit l'infrastructure et sa configuration. Celui-ci utilise une syntaxe déclarative, qui permet d'indiquer l'intention de déploiement sans avoir à écrire la séquence de commandes de programmation pour la créer. On spécifie donc les ressources à déployer et leurs propriétés. C’est un outil très puissant et essentiel car il vous permet de garder le contrôle des déploiements avec un gain de temps considérable et une reproductibilité accrue. 


La Qualification d'Instanciation à l'aide d'Azure Templates est très clairement la nouvelle manière de procéder pour la qualification d'installation de vos environnements Cloud Microsoft. L'évolution vers la Qualification d'Instanciation et non d'Installation, est une réponse adaptée à la compliance Agile.

Règle de conformité - Azure Policy


Dans l'optique de respecter différentes normes et règles (par exemple la 21 CFR Part 11 qui impose la validation des systèmes et les pistes d'audits), la maîtrise des ressources est essentielle dans un environnement Cloud. On comprend intuitivement que les contrôles traditionnels papiers ne peuvent survivre à la puissance de la complexité du Cloud.

Azure Policy permet d'implémenter des contrôles automatisés, réévalués à intervalles réguliers, afin d'atténuer les risques inhérent au Cloud.

La déclaration de différentes règles sur Azure Policy est possible selon deux choix : l'utilisation de règles prédéfinies par Azure ou via des règles personnalisées.

De plus, chaque règle est évaluée en temps réel et selon le résultat, deux types de corrections sont possibles:

  • une correction manuelle, réalisée directement par l'utilisateur.

  • une correction automatique, faite directement par Azure.

Afin de mieux comprendre le cas d'utilisation de ces règles, prenons différents exemples :

  • Vérification du chiffrement des données :

  • Azure Policy détecte les données non chiffrées.

  1. Option 1 : l'utilisateur atténue le risque manuellement en chiffrant les données.

  2. Option 2 : Azure chiffre automatiquement les données selon des actions d'atténuations prédéfinies.

  • Port ouvert de manière laxiste : si une de vos instances (machines virtuelles) a un port ouvert alors que cela n'est pas nécessaire. Alors Azure Policy vous l’indique et le corrige automatiquement si cela a été défini dans la règle.


Package de Conformité - Azure BluePrint


Les règles de conformité sont à la fois nombreuses et complexes et doivent être qualifiées. Par conséquent, il est pratique de les rassembler dans des packages pour faciliter leurs déploiements.

La création de package de conformité se fait par le biais du service Blueprints. Le package est déployé sur les ressources en cas de besoin de visibilité et de contrôle de celles-ci. Comme décrit dans le paragraphe précédent, l’implémentation d'une remédiation manuelle ou automatique rétablira la conformité des ressources en cas de changement non contrôlé.

Offre commerciale d’ADN


Conseil​

  • Cadrage de projet de migration Cloud (infrastructure et applications) ​

  • Audit de fournisseurs SaaS​

  • Stratégie de qualification d'infrastructure Cloud​

  • Conseil en conformité continue GxP​

  • Conseil DevOps GxP

Service​

  • Mise en œuvre de la conformité continue​

  • Règles GxP avec remédiation manuelle/automatique​

  • Qualification d'infrastructure Cloud publique et Hybride

  • Plan, exigences, risques, tests, rapports, procédures. ​

  • Déploiement d'une infrastructure Cloud​

  • Revue d'architecture GxP​

  • Automatisation des installations​

  • Mise en œuvre de modèles qualifiés GxP

Formation​

  • Gouvernance et conformité Cloud

  • Conformité continue​

Contact : contact@adn.fr

50 vues

17, rue Louise Michel, 92300 Levallois-Perret, France

contact@adn.fr  |   01 72 03 23 81

© 2019 par ADN AxDaNe 

  • Facebook - Black Circle
  • LinkedIn - Black Circle
  • YouTube - Black Circle
  • Twitter - Black Circle