La validation initiale des systèmes informatisés est une activité qui maintenant a su trouver sa place au sein des industries pharmaceutiques. Néanmoins, nous constatons ces derniers mois de plus en plus de clients ayant des difficultés dans la mise en place d’un processus de gestion des changements efficace et conformes aux exigences règlementaires (1) (2). Certains nous ont même fait part d’observations des autorités compétentes sur la non-réalisation d’une gestion des changement efficace et pérenne dans le temps.
Le processus de gestion des changements mis en place au sein de votre entreprise est un élément important de la validation de vos systèmes informatisés (VSI) et une bonne ou mauvaise mise en œuvre aura un impact direct sur le maintien en l'état validé des systèmes informatisés.
L'objectif de cet article est donc de vous donner les informations générales et les exigences relatives à la gestion des changements mais aussi vous proposer des solutions adaptées.
Gestion des changements : définition et objectifs
Selon l’ITIL (3), un changement est « l'ajout, la modification ou la suppression de tout ce qui pourrait avoir un effet direct ou indirect sur les services ». La gestion des changements, également appelée "habilitation des changements" (ITIL (3)), est une pratique de gestion des services visant à réduire les interruptions des services informatiques, tout en apportant des changements aux systèmes et services essentiels.
Les objectifs de la Gestion des Changements sont de :
minimiser le risque de tout changement, de réduire l’interruption de toutes les opérations des technologies de l’information (IT), et d’assurer leur réussite de mise en production.
contrôler le cycle de vie de tous les changements, et entreprendre des changements bénéfiques pour l'entreprise avec le minimum de perturbations aux services des technologies de l’information.
s’assurer que tout changement soit enregistré, évalué, autorisé, priorisé, planifié, testé, mis en œuvre, documenté et revu de manière contrôlée.
Gestion des changements : le process général
En général on retrouve trois grands types de changements :
Changements standards :
Changements connus, à faible risque, documentés, effectués fréquemment, et dont les ré-implémentations sont préapprouvées. Ils nécessitent une évaluation des risques et une autorisation lorsqu'ils sont mis en œuvre pour la première fois (puis ce n’est plus nécessaire tant que le changement n’est pas modifié). Exemple : renouveler/upgrader des éléments hardware (mémoire, stockage, …)
Changements normaux :
Changements non urgents, qui doivent être programmés, évalués et autorisés avant implémentation ; ils peuvent avoir différents niveaux de criticité.
Exemple : mise à niveau vers un nouveau système de gestion de contenu
Changements urgents :
Changements découlant d'une erreur ou d'une menace inattendue, et qui doivent être traités immédiatement. Exemple : correctif d’urgence d’une faille de sécurité, résolution d'un incident critique bloquant l’outil de production, …
Ces différents types de changements vont suivre des flux de travail et d’approbation plus ou moins complexes avec des acteurs plus ou moins diversifié en fonction de leur fréquence de leur complexité et bien sur des risques associés.
La gestion des changements : Quel outillage choisir ?
La mise en place d’un outillage pour la gestion des changements a pour objectif principal de permettre aux équipes de gagner dans l’exécution du process mais également de le sécuriser grâce à une activité reproductible, de qualité et conforme aux exigences règlementaires.
En effet l’écosystème applicatif devrait selon nous répondre aux spécifications suivantes
Pouvoir définir des workflows pour chaque type de changement (standards, normaux, urgents)
Sécurise les étapes indispensables requise par la règlementation applicable
Simplifie les flux (revue / correction / approbation)
Permet de s’organiser → gain de productivité
Pouvoir gérer les responsabilités et les autorisations : limiter certaines actions aux seules personnes autorisées
Tracer les informations requises : Par exemple,
Identification unique
Raison
Analyse impact
Analyse de risque
Test associés
Approbation ou rejet
Dates
Pouvoir appliquer des filtres, faire des requêtes :
Réaccéder facilement aux données antérieures créés
Ne rechercher que les éléments demandés ou applicables à une version spécifique
Pouvoir héberger et garantir l'intégrité des enregistrements (audit trail opérationnels et administratifs)
Signature électronique intégrée
Adaptation possible aux méthodes de développement dites « Agiles »
La mise en place d’un processus de gestion des changements pérenne et efficace peut donc vite être consommatrice de ressource et de temps
Cependant, la mise en place d'un outillage adapté permet de facilité cette gestion des changements.
L'équipe Agilité d'ADN est là pour vous conseiller et vous guider pour une mise en œuvre facilitée de ce processus au sein de votre entreprise avec un outillage adapté et économique (Jira Service Management Cloud).
Références :
(1) Eudralex, volume 4, Annex 11 paragraph 10 : Change and Configuration Management “Any changes to a computerised system including system configurations should only be made in a controlled manner in accordance with a defined procedure”
(2) 21CFR part 820 Subpart G - § 820.70 Production and Process Controls “Automated processes. When computers or automated data processing systems are used as part of production or the quality system, the manufacturer shall validate computer software for its intended use according to an established protocol. All software changes shall be validated before approval and issuance. These validation activities and results shall be documented »
(3) ITIL (Information Technology Infrastructure Library)