Qualification de l’infrastructure informatique : une meilleure maitrise des risques grâce aux exigences réglementaires
23/10/2025
Maladresse au laboratoire ; un réactif répandu par un technicien rend les archives de la Chromatographie Liquide Haute Performance (HPLC, pour High Performance Liquid Chromatography en anglais) inutilisables et la dernière sauvegarde date de 6 mois. Intrusion dans les ordinateurs de la R&D ; les chercheurs peinent à évaluer les dégâts causés par le vol de ces données extrêmement sensibles. Incendie dans l’atelier de production ; une armoire automate est détruite et les lignes sont arrêtées pendant 2 semaines. Ces incidents consécutifs à une erreur, un acte malveillant ou un accident peuvent être anticipés et les risques afférents mieux maitrisés grâce au processus de qualification de l’infrastructure informatique.
1. Un système qualité propre au secteur de la santé
Les entreprises du secteur de la santé sont réglementées pour garantir la sécurité du patient, la qualité des produits et l’intégrité des données. En Europe, les systèmes informatisés utilisés par le secteur pharmaceutique doivent être conformes aux exigences de l’annexe 11 des Bonnes Pratiques de Fabrication (BPF) édictées par l’EUDRALEX, le cadre réglementaire des médicaments dans l’Union européenne. Valider les systèmes informatisés implique de qualifier l’infrastructure qui supporte tous les processus de Technologies de l’Information (IT, pour Information Technologies en anglais) comme la gestion des incidents, la supervision, les sauvegardes ou restaurations de données. L’ISPE (International Society for Pharmaceutical Engineering, ou Société internationale pour l’ingénierie pharmaceutique en français) a publié en 2005 un guide pratique pour aider les fabricants à atteindre cet objectif. Il s’agit d’une édition du GAMP (Good Automated Manufacturing Practice, ou Bonnes Pratiques de Fabrication Automatisée en français) nommé GAMP Good Practice Guide IT Infrastructure Control and Compliance.
L’infrastructure informatique est l’ensemble des ressources matérielles et logicielles nécessaires au bon fonctionnement des applications métiers. Il peut s’agir d’un composant d’infrastructure, par exemple un routeur dans un réseau ou bien d’un ensemble de composants, comme une plateforme. Ces deux types, composant seul et ensemble de composants, sont soumis aux normes. Donc les salles machines, les réseaux (LAN, WAN, Switch…), les SAN (Storage Area Network, ou réseau de stockage dédié) *, les serveurs virtuels mutualisés, les outils de monitoring, les anti-spam, et bien d’autres doivent être qualifiés.
Un point de vocabulaire : on parle de « qualification » pour l’infrastructure et de « validation » pour les systèmes informatisés, mais ces deux termes désignent la même démarche structurée. Elle repose sur les deux principes que sont d’une part l’indépendance de l’entité qui valide par rapport à l’entité qui opère et d’autre part une attention forte portée sur les points critiques. Et ces points critiques sont connus grâce à une analyse de risques. Il y a évidemment des documents à créer et des bonnes pratiques documentaires à connaitre et appliquer. La conformité réglementaire est un impératif qui exige du temps et des ressources, elle est aussi le moyen de garantir l’intégrité et la traçabilité des données. Ces bénéfices ne s’arrêtent pas là. In fine, qualifier l’infrastructure, c’est maitriser les risques, notamment ceux qui sont liés à la sécurité.
*LAN (Local Area Network ou Réseau Local en français), WAN (Wide Area Network ou Réseau étendu en français), et SAN (Storage Area Network ou réseau de stockage dédié).
2. Les différentes étapes de la qualification
La qualification de l’infrastructure informatique suit des étapes structurées précisées par les normes en vigueur, permettant de garantir la conformité réglementaire ainsi que la réduction des risques liés aux défaillances. Ces étapes prennent en compte les spécificités propres à chaque entreprise, comme les interactions entre ses infrastructures internes et celles de ses partenaires. Chacune des étapes de qualification, de la sélection des fournisseurs à la validation de la performance, joue un rôle clé pour assurer un fonctionnement fiable et sécurisé des systèmes.
2.1. Qualifier ses fournisseurs
Les étapes de qualification sont bien décrites par les instances normatives. Elles doivent intégrer la spécificité de l’infrastructure de chaque entreprise, et en particulier sa distribution entre les locaux de l’industrie et ceux de ses partenaires. La première étape clé, consiste en un audit des fournisseurs en vue de les qualifier (ou non) selon leur conformité aux standards requis.
Selon la convention de service, l’entité physique et juridique qui héberge les systèmes informatisés peut être propriétaire ou non de l’infrastructure, mais reste responsable de garantir l’intégrité des données et systèmes associés. Qualifier un hébergeur implique une très bonne connaissance de ses méthodes, qui doivent être conformes aux exigences réglementaires. Réciproquement, une prise en compte des contraintes spécifiques de l’entreprise par l’hébergeur est fondamentale. Pour ceux d’entre eux qui opèrent dans plusieurs secteurs économiques, il est essentiel d’adapter les procédures pour intégrer les exigences propres au domaine de la santé.
Quant aux fournisseurs de services qui gèrent des applications métiers ou l’accès internet, il ne faut pas oublier que leur catalogue répond à une logique économique d’uniformisation. Le service vendu est paramétrable, mais la qualification reste un préalable à la contractualisation. En l’absence de cette démarche, les services rendus pourraient s’écarter des besoins réels et introduire des failles de sécurité. L’audit de qualification d’un fournisseur est une étape fondamentale pour être conforme, mais aussi pour réduire les risques.
2.2 La revue de conception pour l’infrastructure
La deuxième étape, la revue de conception, consiste en une vérification documentée de la conception des composants d’infrastructure afin de vérifier qu’ils conviennent aux usages prévus. Comme la revue de conception des systèmes, elle doit garantir que les exigences réglementaires sont intégrées à celles des utilisateurs et qu’elles sont correctement mises en œuvre.
Les éléments d’infrastructure sont classés en catégories selon la classification GAMP. Si la catégorie 1 ne requiert pas une revue de conception exhaustive, des tests ciblés restent indispensables. Par exemple, la revue de conception d’un réseau doit se focaliser sur la technologie (protocole de contrôle de transmission (TCP ou Transmission Control Protocol en anglais) ou protocole Internet (IP ou Internet Protocol en anglais)) et le matériel utilisé. Elle s’appuie, a minima, sur un dossier d’architecture détaillé.
Enfin, la revue de conception sert à valider tous les éléments qui supportent la sécurité. Cela inclut la qualification des processus d’authentification (annuaires, certificats…), la gestion des accès, les éléments de protection (firewall, antivirus, antispam …), ainsi que la validation des services de chiffrement et les correctifs de sécurité des éditeurs.
2.3 La qualification d’installation
La Qualification d’installation (QI) ne consiste pas à installer le composant d’infrastructure ni à documenter son installation. Elle sert à vérifier qu’il est correctement installé, c’est-à-dire que tous les éléments requis, et uniquement ceux-ci, sont en place, et que la documentation qui s’y rapporte est exacte. La vérification documentaire concerne les manuels du fournisseur mais aussi les diagrammes topologiques et logiques du réseau, les procédures, les conventions d’étiquetages du système et encore d’autres.
Cependant, la révision de la documentation ne suffit pas : il faut aussi faire des tests précis et spécifiques. Des tests porteront sur les vérifications des conditions environnementales pour l’alimentation électrique, mais aussi sur le matériel (le contrôleur de disques) et les logiciels (le système d’exploitation) des serveurs. Il en va de même pour les réseaux avec des vérifications de la couche physique et logique.
Une fois la QI terminée sans erreur, ou avec des erreurs non bloquantes, il est possible de procéder à la Qualification opérationnelle (QO). Ce passage à l’étape suivante est décrit dans le plan de qualification : il décrit toute la stratégie de qualification d’un composant ou d’un ensemble de composants, ainsi que les rôles et responsabilités de chacun.
2.4 La qualification opérationnelle
La QO vérifie que l’infrastructure, telle qu’elle a été installée, va fonctionner comme prévu. Il est donc important qu’elle soit réalisée dans des conditions les plus proches possibles de la production. Ainsi, pour un composant donné, cette vérification porte sur ses fonctions spécifiques, sur ses fonctionnalités d’administration (la gestion des droits, par exemple) et sur les fonctions transverses, notamment celles liées au plan de continuité.
Les tests sont définis par rapport aux risques identifiés, c’est-à-dire par rapport aux résultats de l’analyse de risques. Les tests ne sont pas une simple formalité pour obtenir la conformité, ils sont conduits dans l’intention de trouver des erreurs. Donc en plus des cas nominaux, il faut des tests aux limites (que se passe-t-il quand une donnée est en dehors des intervalles autorisés ?), des tests en défaillance (que deviennent les données quand le PC est déconnecté du réseau ?) et des tests de stress (tous les utilisateurs travaillent en même temps).
A la fin des tests opérationnels, la preuve est établie que les bases de données sont bien connectées, que les temps de réponse dans des conditions spécifiées par le Plan de Qualification sont conformes aux attendus, et que le fonctionnement du composant d’infrastructure respecte les exigences définies.
2.5 La qualification de performance
La Qualification de Performance (QP) est la dernière étape du processus de qualification. Elle a pour objectif de vérifier que le composant d’infrastructure ou la plateforme va fonctionner de manière efficace et reproductible, sur la base de procédures approuvées en répondant aux besoins des utilisateurs. Elle peut comporter deux ou trois étapes distinctes.
La QP vérifie que le composant ou la plateforme est prêt à être mis en production. La Qualification Post-Implémentation (QPI), qui est facultative, présente les indicateurs après la mise en production. Ils seront suivis pour assurer un monitoring régulier des éléments d’infrastructure, tout au long de son cycle de vie.
3. La qualification systématique
A la bonne fin de la démarche de qualification, l’infrastructure est opérationnelle et sécurisée. On constate généralement qu’elle évolue rapidement. L’infrastructure supporte l’ensemble des systèmes métiers, mais la qualifier uniquement au travers des applications est une tache redondante. Pour plus d’efficacité, un autre processus se déroule en parallèle : la qualification systématique. Avec l’émergence de nouveaux services comme Infrastructure as CODE, la qualification systématique permet de systématiser la gestion de l’infrastructure et facilite son maintien en état qualifié.
Ce processus s’appuie sur la mise en place de procédures IT pour la gestion des changements, des incidents, des configurations mais aussi pour la supervision du réseau, la maintenance de la salle machine, etc. Des fiches descriptives des composants sont rédigées par les équipes IT et mises à disposition. Lors de la rédaction des tests de QI d’une application métier, les équipes de validation se réfèrent simplement aux fiches des composants IT pour effectuer leurs vérifications. Ceci permet d’alléger la QI applicative en s’appuyant sur l’infrastructure déjà qualifiée qui héberge l’application.
Conclusion
L’annexe 11 des BPF pharmaceutiques est en cours de révision, la QI n’est pas remise en cause ; elle est présente dans plusieurs paragraphes qui évoquent la sécurisation des données, et la disponibilité des données et systèmes. La qualification des infrastructures constitue une démarche essentielle pour garantir la conformité, la sécurité et la performance des systèmes d’information. Ce processus, structuré autour des différentes étapes de qualification (QI, QO, QP), permet de valider les composants techniques dans un cadre méthodique et rigoureux, tout en répondant aux besoins spécifiques des utilisateurs et des applications métiers.
Cette démarche de qualification ne se limite pas à une simple vérification technique : elle s’inscrit dans une stratégie globale visant à construire une infrastructure fiable et adaptée aux exigences actuelles et futures. Sa réussite repose sur l’engagement des équipes, la clarté des responsabilités, et l’intégration cohérente de processus éprouvés. Cette rigueur garantit non seulement la conformité, mais aussi la capacité de l’organisation à anticiper et relever les défis à venir dans un cadre fiable et sécurisé.
Besoin d’aide?
Nos experts vous aident à mettre vos infrastructures informatiques en conformité :
- Audit / état des lieux de la compliance de l’infra (annexe 11 / ISO 27001:2022)
- Audit / état des lieux des services d’infra proposé (annexe 11 / ISO 27001:2022)
- Formation à la qualification d’infrastructure informatique.
- Application de la qualification :
- Rédaction et participation aux analyses de risques
- Rédaction et exécution des phases de QI/QO/QP
- Rédactions des rapports intermédiaires et finaux
- Gestion des NC / CAPA
- Mise en place de mise a jour d’un SMQ IS/IT avec le principe de qualification systématique au fil de l’eau
Contactez-nous à : solutionprojectdelivery@efor-group.com.
Le groupe
Nos engagements RSE
Conscients de notre responsabilité sociale et environnementale, nous agissons chaque jour pour faire avancer la société.
Nos actualités
Suivez toutes nos infos santé
-
Article technique13/11/2025
Gouvernement américain à l’arrêt : Conséquences pour les fabricants de Dispositifs Médicaux et mesures de mitigation stratégiques
Le blocage du gouvernement américain oblige plusieurs agences fédérales, dont la FDA, à fonctionner avec des ressources limit
-
Article technique6/11/2025
Les Seuils de préoccupation toxicologiques ou Thresholds of Toxicological Concern
L’évaluation du risque toxicologique (ISO 10993-17) des constituants des dispositifs médicaux est sous-jacente à l’obtentio
-
RSE30/10/2025
Un mois de mobilisation et de solidarité pour Octobre Rose 🩷
Tout au long du mois d’octobre, dans le cadre de la campagne Octobre Rose, les collaborateurs d’Efor se sont mobilisés