A. Introduction
Lyra est un « logiciel en tant que service » (Software as a Service), c’est donc une solution logicielle applicative accessible via Internet. Les services et les données sont hébergés et exploités chez un prestataire de « Cloud Computing ».
Lyra se voulant être une solution globale à la maîtrise et au contrôle de la contamination, elle se base sur des services innovants (Big Data, IA, Analytics, intégration à vos API) demandant un haut niveau d’exigences, de disponibilité et de performance.
B. Qu’est-ce que le Cloud Computing ?
De plus en plus utilisé par les entreprises de toutes les industries, le Cloud Computing est la nouvelle forme de stockage de données et de consommation de services informatiques du 21ème siècle.
Les solutions cloud reposent principalement sur des technologies de virtualisation et d’automatisation.
Trois caractéristiques clés du Cloud le différencient de l’informatique traditionnelle :
- Mutualisation et allocation dynamique de capacité (adaptation élastique aux variations de charge).
- Services à la place de produits technologiques avec mise à jour en continu et automatique.
- Self-service et paiement à l’usage (en fonction de ce que l’on consomme).
La virtualisation du Cloud Computing donne plus d’agilité, grâce à :
- Abstraction de la localisation : l’application est sur des machines constitutives de la plateforme de virtualisation. Le mécanisme de réplication des données sur des serveurs distants (distribution multi site), couvre les risques de désastres (incendie, inondation)
- Elasticité : Allouer des ressources supplémentaires à une application proche de la saturation.
Optimisation de l’usage des ressources, permet d’éviter le syndrome de le machine utilisé à 20%, entraine donc une réduction des réductions des coûts.
- Pay as you go : les utilisateurs paient les ressources qu'ils utilisent en fonction de leur consommation réelle et précise…
- La mutualisation des données : affecter les ressources d’une machine à plusieurs applications
C. SaaS Vs. On Premise
A l’inverse d’un logiciel en tant que service (SaaS), le modèle « On Premise » consiste en une solution logicielle installée chez le client, dont l’infrastructure technique et les opérations de maintenance sont gérées par son service informatique ou un prestataire externe.
C.1. Coût & investissement
SaaS (Services Cloud) |
On Premise (logiciel chez le client ) |
Allocation physique non nécessaire = Budget matériel moins important |
Dépendance de l’infrastructure et du système d’exploitation |
Maintenance et mises à jour prises en charge = Budget humain moins important |
Maintenance et mise à jour à discrétion de la DSI interne |
Solution clef en main = Mise en œuvre rapide et avantageuse |
Installation et mise en service coûteux |
Abonnement mensuel = Engagement sur des montants plus bas |
Achat de licence et de matériel (CAPEX) |
C.2. Services et sécurité :
SaaS (Services Cloud) |
On Premise (logiciel chez le client ) |
Allocation physique non nécessaire = Budget matériel moins important |
Dépendance de l’infrastructure et du système d’exploitation |
Maintenance et mises à jour prises en charge = Budget humain moins important |
Maintenance et mise à jour à discrétion de la DSI interne |
Solution clef en main = Mise en œuvre rapide et avantageuse |
Installation et mise en service coûteux |
Abonnement mensuel = Engagement sur des montants plus bas |
Achat de licence et de matériel (CAPEX) |
Sur un bon de commande, seule la partie émergée de l’iceberg est visible, la partie immergée, représentant les coûts cachés, n’est pas visible. La taille de cette seconde partie est pourtant bien différente selon le type d’hébergement de solution choisi
.
Dans le cas de la solution SaaS, la partie visible de l’iceberg (les licences) représente la plus grosse partie de l’iceberg. En effet pas de coûts cachés d’hébergement et de maintien des serveurs : pas de frais de personnel chargé du maintien des serveurs, pas de frais d’hébergement et PRA des VMs, pas d’investissement à faire dans les baies de stockage, dans du réseau …. L’ensemble de ces dépenses sont prises en charge par le fournisseur dans le coût des licences.
Les seules charges restantes, identiques à une installation On-Premise, sont la formation des utilisateurs et le temps de mise en main et d’exploitation de l’outil souscrit.
A contrario la solution On-Premise va induire des frais cachés plus ou moins importants. Quel est le coût d’un administrateur système et réseau, interne ou externe qui passe du temps à déployer des VMs et à les maintenir ? Quelle est la fréquence des montées de version de l’outil ? Combien de temps faut-il passer pour faire la montée de version ? Cette dernière doit-elle être réalisée obligatoirement par le fournisseur et à quel coût ? Que se passe-t-il en cas de changement du système d’exploitation support de la solution ? Quel est le coût de la migration ? Toutes ces questions doivent avoir une réponse et un chiffrage en face, souvent difficile à mesurer, mais pour autant essentiel.
D. BPF, Faire confiance au Cloud ?
Le cloud computing est un domaine important offrant de grandes opportunités d'innovation et d'avantages commerciaux. Il y a un mouvement inévitable vers l'utilisation de certains éléments du cloud computing pour certaines applications GxP, et cela augmentera certainement.
Sion Wyn – ISPE.org - 2016
Pour beaucoup la “Confidentialité” est synonyme de conservation de SES données informatiques dans SES locaux.
Différentes études sur le sujet, notamment une dernière en date est signée Bitglass et réalisée auprès de 351 responsables de la sécurité en entreprise, soulève des incohérences entre les craintes et les pratiques …
66 % des responsables considèrent le vol des données comme principale préoccupation mais seulement 31% des responsables ont déployé des solutions DLP (Data Leak Prevention) et 45% des solutions de chiffrement de données.
L’étude révèle également que de trop nombreuses entreprises tentent encore d’utiliser les méthodes et outils du monde on-premises tels que les pare-feu (44%) ou la surveillance des réseaux (26%) pour sécuriser leur utilisation du Cloud. Pourtant, 82 % des personnes interrogées admettent que ces outils ne sont plus adaptés à cet usage et qu’elles devraient plutôt se tourner vers solutions de Sécurité le Cloud.
La métaphore de l’avion
Certains acteurs du Cloud (Microsoft, Amazon, par exemple) ont subi des pannes. Pour relativiser ces problèmes, on peut faire appel à la métaphore de l’avion. En effet les catastrophes aériennes sont hyper-médiatisées, mais l’avion reste le moyen de transport le plus sûr.
De la même manière, la presse pointe le moindre défaut des géants de l’informatique, mais ne dit rien sur les incidents informatiques qui ont lieu dans les entreprises moins en vue. Lorsque l’on fait un bilan sur les 5 dernières années, il apparaît que le cloud est plutôt très fiable.
Guillaume Plouin – extrait du livre “Cloud et transformation digitale”
D.1. L’aspect Réglementation et Conformité
La norme 21 CFR part 11 (FDA) définit les règles à respecter dans le cadre du développement d’un système informatisé devant répondre aux exigences des BPF
Le guide GAMP 5 fournit des conseils utiles sur la façon de procéder lors du développement et la configuration d’un système informatisé devant répondre aux exigences des BPF.
D.2. L’aspect Réglementation et Conformité
Lyra system s’appuie donc sur le processus de mise en œuvre de la 21 CFR part 11 et les conseils du guide Gamp 5 afin de répondre au exigences des BPF.
- Audit trail
- Signature électronique
- Processus automatisés des tests et des vérifications
- Évaluation des risques
- Évaluation des fournisseurs
- Accords, contrats, SLA et certification des fournisseurs de services
D.3. L’aspect Réglementation et Conformité
Les industries pharmaceutiques, cosmétiques et agro-alimentaires peuvent donc tirer parti des avantages des solutions cloud sans compromettre la conformité réglementaire dans la mesure où celle-ci répond aux règles définies par les normes.
D.4. L’aspect technique
D’un point de vue technique la solution Lyra porte un haut niveau d’exigence sur les points suivants :
- L’authentification
- La confidentialité
- L’intégrité
- La traçabilité
D.4.1. Lyra System propose une authentification renforcée
L’authentification est une procédure qui consiste pour un système informatique, à vérifier l'identité d'un accédant avant de lui autoriser l'accès au système.
- Contrôle d’accès strict (rôles, niveau d’accès, et groupes)
- Authentification multi-facteur (SMS, application tiers)
- Single Sign On (authentification unique, fédération d’identité)
- Protocoles et standard en vigueur (OAuth2)
D.4.2. Confidentialité et intégrité des données
La confidentialité porte sur la certitude qu'une donnée n'a pas été lu par une personne non habilitée ou mal intentionnée elle doit être traitée pour des données persistantes et leurs d'échanges avec des tiers.
L'intégrité porte sur la certitude qu'une donnée n'a pas été altérée de manière accidentelle ou mal intentionné elle doit être considérée pour des données persistantes et lors d'échanges avec des tiers.
- Données chiffrées de bout en bout (au repos et en transit) = Sans déchiffrement, toute exploitation légitime de données chiffrées est impossible
- Protocole TLS (1.2 ou 1.3)
- L’utilisation d’un VPN (réseau virtuel privé) basé sur le protocole IPSec = tunnel sécurisé entre un appareil et Internet.
- Données et services hébergés dans l’union Européenne
- Lyra System garantit l’intégrité des données, en se basant sur les principes ALCOA+
D.4.3. Lyra System et la traçabilité
La traçabilité porte sur la génération de traces permettant de suivre le comportement des applications en production cette trace permet de comprendre les comportements des utilisateurs et ceux d'éventuels pirates elle permet aussi d'optimiser le fonctionnement des applications.
- Lyra respecte les exigences réglementaires du 21 CFR Part 11
- Chaque donnée enregistrée et accompagnée d’une signature électronique
- Audit trail : une base de données externe intègre toutes les actions et données horodatées
- Journaux informatiques d’aide au diagnostic
E. Synthèse
Une solution en tant que service, telle que Lyra System, utilisant des services de cloud computing donne accès à des fonctionnalités innovantes et une infrastructure hautement disponible (24/24 et 7/7).
L’évaluation des prestataires et la validation du système dans son ensemble permettent de fournir une solution ayant un haut niveau d’exigence et de certification et donc de répondre aux attentes des organismes réglementaires.
Lyra System en mode Saas permet donc un gain financier et l’optimisation des ressources interne du client tout en garantissant une protection des données accrues car répliquées et protégées par des protocoles stricts.
F. Documents annexes
https://aws.amazon.com/fr/compliance/gxp-part-11-annex-11/
https://cloud.google.com/security/compliance
https://services.google.com/fh/files/misc/gxp_technical_solution_guide.pdf
https://www.gmp-compliance.org/training/gmp-course-conference/cloud-computing-in-a-gxp-environment
https://www.pharmout.net/using-cloud-based-solutions-regulated-environment/