des principes à la pratique

Le management par les risques informatiques : des principes à la pratique Partie 2 19 janvier 2012

Le management par les risques informatiques: des principes à la pratique Témoignage sur le management par les risques informatiques (secteur privé) Gina Gullà-Ménez Directeur Compliance et Gestion des risques SI, Sanofi Affaires Industrielles 19 janvier 2012

Plan de la présentation 1. Introduction - contexte Sanofi 2. Le management par les risques informatiques Les enjeux de Sanofi L approche 3. Points de vigilance, points de repères Conclusion Questions réponses Témoignage sur le management par les risques informatiques (secteur privé) 3

Histoire de Sanofi BMP Sunstone, Medley, Merial, Nepentes, Zentiva, Kendricks, Oenobiol, Chattem, Acambis, Symbion, Shantha Biotechnics 2008-2010 Sanofi-aventis 2004 Genzyme 2011 Aventis Sanofi Pasteur Sanofi-Synthélabo 1999 2004 1999 Marion 1950 Roussel 1911 Hoechst Marion Roussel 1997 Rorer 1910 Connaught 1922 Institut Mérieu x 1897 Rhône-Poulenc Rorer 1990 Delagrange 1931 Synthélabo 1970 Delalande 1924 Sterling 1901 Sanofi 1973 Chinoin 1919 Clin Midy 1971 Hoechst 1863 Wittman & Poulenc 1860 Robert & Carrière 1901 Dausse 1834 Midy 1718 Témoignage sur le management par les risques informatiques (secteur privé) PRÉSENTATION INSTITUTIONNELLE 2011 4

Sanofi - bref historique Sanofi est l héritier d une très longue histoire qui s illustre avec les grands progrès scientifiques des XIXème et XXème siècles et la notoriété des principaux laboratoires industriels qui ont marqué l évolution de la chimie, de la pharmacie et de la médecine : En 1718, les Laboratoires Midy sont créés par une famille de pharmaciens. En 1980, le groupe Clin Midy est racheté par Sanofi. Les Laboratoires Dausse sont fondés en 1834 et les Laboratoires Robert & Carrière en 1901. Leur alliance donnera naissance en 1970 au Groupe Synthélabo. En 1860 le pharmacien Etienne Poulenc crée la société Wittmann et Poulenc Jeune. En 1910, le laboratoire Rorer voit le jour. La fusion des deux sociétés donnera naissance en 1990 à Rhône-Poulenc Rorer. En 1863, un groupe de chimistes, de commerçants et d ouvriers se lance dans la fabrication de colorants dans une petite usine située à l'ouest de la ville de Höchst, en Allemagne. C est l origine de la société Hoescht qui, par son alliance le laboratoire Roussel fondé en 1911, donnera Hoechst Marion Roussel. En 1887, Marcel Mérieux, élève de Louis Pasteur, fonde l Institut Biologique Mérieux qui deviendra en 2004 Sanofi Pasteur, la division vaccin du groupe Sanofi. Et plus récemment Les groupes Sanofi et Synthélabo fusionnent en mai 1999 pour constituer un acteur majeur de la pharmacie. Il s agit de deux groupes jeunes, fondés respectivement en 1973 pour Sanofi et en 1970 pour Synthélabo. En décembre 1999, les groupes Rhône-Poulenc et Hoechst Marion Roussel, officialisent par leur fusion la création d Aventis. Le groupe franco-allemand se situe dans les tous premiers mondiaux. En août 2004 Sanofi-Synthélabo prend le contrôle d Aventis. La fusion-absorption, finalisée le 31 décembre de la même année, donne naissance à Sanofi-Aventis. Le 6 mai 2011, Sanofi-Aventis simplifie son nom en Sanofi Témoignage sur le management par les risques informatiques (secteur privé) 5

Sanofi évolution et chiffres clés 1973 à 2008 2009 à 2011 Santé, Beauté, Nutrition 300 fusions et acquisitions Leader de santé diversifié 23 acquisitions incluant Genzyme +61 +2 accords de licence créations de co-entreprises soit 23 Mds investis 30,4 Mds de CA en 2010 10 Employés 110 000 dans 100 pays Source : estimation collaborateurs mars 2011, présentation RI - 6 sept. 2011 Témoignage sur le management par les risques informatiques (secteur privé) PRÉSENTATION INSTITUTIONNELLE 2011 6

Sanofi stratégie Une stratégie centrée sur les besoins du patient Caractérisée par une rupture de son modèle commercial traditionnel et par une profonde transformation de l environnement de la R&D, l industrie pharmaceutique se situe à un véritable carrefour : contraintes réglementaires strictes essor des génériques contrôle des coûts Aussi la demande en solutions de santé n a jamais été aussi forte. Enfin et surtout, jamais les opportunités scientifiques et technologiques n ont été aussi prometteuses. Sanofi est à une époque charnière de son histoire entre défi et opportunité. Au carrefour de toutes les opportunités 2012, le Groupe perd 30 % de son chiffre d affaires sans pouvoir prétendre à une compensation équivalente de la part des produits de son portefeuille de développement. Notre stratégie s articule autour de trois grandes priorités : accroître l innovation en Recherche et Développement, saisir les opportunités de croissance externe, s adapter aux enjeux et aux opportunités à venir. Une croissance durable et adaptée aux réalités locales Notre stratégie repose sur une politique structurée d acquisitions et de partenariats adaptée à la réalité de chaque pays et qui renforcent nos six plates-formes de croissance : les marchés émergents, les vaccins humains, la santé grand public, le diabète, les produits innovants et la santé animale. avec Genzyme, Sanofi renforce son expertise dans le domaine de la biotechnologie et des maladies rares. Témoignage sur le management par les risques informatiques (secteur privé) 7

Sanofi organisation Audit et évaluation du contrôle interne Business Development Directeur Général Relations Humaines Communication Affaires générales Finances et Juridique Recherche & Développement Opérations Pharmaceutiques Affaires Industrielles Vaccins Développement International Chimie Marketing Global & Access France Europe (hors France) & Canada Etats Unis Asie Pacifique & Japon Inter Continental Témoignage sur le management par les risques informatiques (secteur privé) 8

Sanofi Affaires Industrielles Les «Affaires Industrielles» développent, produisent, conditionnent, stockent et distribuent les produits du Groupe. Sanofi a choisi d intégrer la fabrication de ses produits afin d en maitriser la qualité et la distribution. Stratégie des «Affaires Industrielles» : développer son portefeuille et construire sa diversification, aussi bien dans les pays émergents que sur les autres marchés. Aujourd hui, un maillage industriel complet, avec : des sites globaux dédiés à la fabrication de dispositifs médicaux, de systèmes et de produits hautement technologiques, des sites régionaux dédiés à des marques qui réalisent des volumes importants sur des produits de grande consommation et des usines locales tournées vers leur marché national. La tendance actuelle consiste en une synergie industrielle, en rapprochant les activités pharmaceutiques et vaccins et en adaptant l outil de production à la mutation vers les biotechnologies. Témoignage sur le management par les risques informatiques (secteur privé) 9

Sanofi - DSI des Affaires Industrielles Mission de la DSI des Affaires Industrielles : développement, installation, maintenance et évolution des solutions informatiques des métiers : production, supply chain,... 75 sites de fabrication (Affaires industrielles) 7 plateformes de distribution 18 centres de développement industriel et d innovation 8 plateformes de développement de procédés 34 pays 1 centre de solutions Au sein de la DSI, le département Compliance et Risk Management : contrôle interne couvrant audit et suivi des audits, gestion des risques (y compris sécurité SI), qualité et conformité règlementaire des projets et des solutions informatiques, méthodes et outils. Témoignage sur le management par les risques informatiques (secteur privé) 10

Plan de la présentation 1. Introduction - contexte Sanofi 2. Le management par les risques informatiques Les enjeux de Sanofi L approche 3. Points de vigilance, points de repères Conclusion Questions réponses Témoignage sur le management par les risques informatiques (secteur privé) 11

Les enjeux Sanofi Risque pharmaceutique et règlementation- les BPF ou GxP La règlementation pharmaceutique : mise en place en France en 1978 -les BPF ou GxP Mise en place en France en 1978, constitue le référentiel qualité applicable par l AFSSAPS (Agence française de sécurité sanitaire des produits de santé) lors de ses inspections. Le détenteur d'une autorisation de fabrication doit fabriquer un produit adapté à l'usage, conforme à ses spécifications définies dans l'autorisation de mise sur le marché et ne devant pas exposer un patient à un risque remettant en cause la sécurité, la qualité ou l'efficacité du produit. Toutes les activités, qui peuvent avoir un impact, direct ou indirect, sur la santé de l homme par l intermédiaire des médicaments, sont concernées par la réglementation. L informatique prend de plus en plus d importance dans toutes les industries. Les textes réglementaires s intéressent aux cas des «systèmes informatisés» utilisés dans les différentes phases du cycle de vie du médicament, et donc aux activités de conception, de réalisation et de maintenance de ces systèmes. La «validation» Le concept de la validation a été proposé par la FDA, au milieu des années 70 afin d'améliorer la qualité des produits pharmaceutiques. L extension de la validation à d'autres secteurs de l industrie est une conséquence de plusieurs incidents de grande échelle. Le plus notable concerne un logiciel de radiothérapie mal conçu qui a conduit à l exposition de patients à des doses de rayonnement plusieurs milliers de fois supérieur au taux prévu. En 1983 la FDA a édité un guide de l'inspection des systèmes automatisés dans le traitement pharmaceutique, également connue sous le nom de «bluebook». Puis des sections aux règlements spécifiquement pour l'usage des systèmes informatiques, la FDA a présenté la partie 11 de 21 CFR pour des règles sur l'utilisation des signatures électroniques (FDA 1997). Témoignage sur le management par les risques informatiques (secteur privé) 12

Les enjeux Sanofi : le contrôle interne Adoptée en juillet 2002 par le Congrès américain, la Loi Sarbanes- Oxley (SOA) implique que les Présidents des entreprises cotées aux Etats-Unis certifient leurs comptes auprès de la Securities and Exchanges Commission (SEC) l'organisme de régulation des marchés financiers US Guidée par trois grands principes : l'exactitude et l'accessibilité de l'information, la responsabilité des gestionnaires et l'indépendance des vérificateurs/auditeurs Son objectif : restaurer la confiance des investisseurs et de renforcer la gouvernance d'entreprise, largement entamée par les nombreux scandales financiers de 2001 et 2002 Témoignage sur le management par les risques informatiques (secteur privé) 13

Le management par les risques informatiques Les enjeux de Sanofi Les règlementations et les acteurs en charge de la réduction des risques augmentent La complexité croissante du métier industriel conduit à une dépendance plus importante sur ls-it Le contexte économique actuel de globalisation et de concurrence accrue rend nécessaire notre adaptation permanente à notre environnement - la prise de risque devient un enjeu majeur de développement C est pourquoi, comme un nombre croissant d organisations, nous avons complété nos dispositifs et nos processus destinés à mieux maîtriser nos risques 14 Témoignage sur le management par les risques informatiques (secteur privé) 14

Le management par les risques informatiques Les enjeux Sanofi (suite) En parallèle, les impacts liés aux incidents de sécurité : pertes financières, vol de données, compromission de l image ont doublé voire triplé sur les quatre dernières années (enquête PWC) Les enjeux sécuritaires liés aux nouvelles technologies (Cloud Computing, réseaux sociaux, mobiles, etc.) sont un défi de plus Dans le monde industriel, les systèmes de production ou de laboratoires utilisent de plus en plus de composants standard et ont donc hérité de leur vulnérabilités : virus, brèches de sécurité 15 Témoignage sur le management par les risques informatiques (secteur privé) 15

Département Compliance et Gestion des risques Organisation Compliance & Risk management 25 internes en France (autant en externe) Sites representatives Assistant Risk management & security Internal control IS Quality & Compliance Method and tools Group coordination Un réseau de 80 responsables risques IS/IT site 16 Témoignage sur le management par les risques informatiques (secteur privé) 16

Finalités du département C&RM Pratiques DSI AI Pratiques C&RM Zone de risque SI Portefeuille projets Validation règlementaire SOX Politique Qualité SI Cartographies Développement de solutions Gestion des risques SI Politique sécurité SI Témoignage sur le management par les risques informatiques (secteur privé) 17

Département Compliance et Gestion des risques Les finalités de notre équipe sont : D identifier et analyser avec le management et les équipes Affaires Industrielles les risques liés aux technologies supportant les objectifs métiers stratégiques. De contribuer, à travers la rédaction de règles normatives internes, sous forme de politiques, de directives, à réduire les risques liés à l utilisation des Systèmes d Information. en utilisant les outils et expertises règlementaires et techniques appropriés Témoignage sur le management par les risques informatiques (secteur privé) 18

Département Compliance et Gestion des risques Les finalités de notre équipe sont aussi de : Piloter la gouvernance de la gestion des risques SI au sein des Affaires Industrielles Définir ou participer à la définition des méthodologies, standards à appliquer dans la conduite des projets Assurer l accompagnement méthodologique des projets et le respect de la méthodologie dans un souci d optimisation des coûts et des délais Garantir la validation des SI dont AI-IS est en charge et notamment les processus GxP et SOA afin de respecter les règlementations françaises et internationales Témoignage sur le management par les risques informatiques (secteur privé) 19

Approche de management par les risques informatiques Une approche «articulée» Les facettes présentées par la prise de risques sont tellement variées et nombreuses que, nous avons éprouvé des difficultés à disposer d une vision et d une maîtrise globale du management des risques informatique : la maîtrise technique des installations? l importance de la réglementation qui, si elle était respectée, nous protègerait? dénoncer les coupables, l exemple de la punition sera suffisamment dissuasif? Mais, nos systèmes industriels deviennent tellement complexes et imbriqués, qu il est illusoire de se concentrer sur un seul paramètre = > Une approche globale de la maîtrise du risque. Pour être efficace, elle nécessite une approche progressive et intégrée couvrant l ensemble de ces dimensions : mécanismes d appropriation Ces dispositions sont à la fois : technique, procédurale, organisationnelle, humaine, la maîtrise des interfaces et de la communication, le suivi d indicateurs au travers d un tableau de bord, le retour d expérience et la culture de la vigilance. Ceci implique également, en cas de séquence accidentelle, que des moyens et procédures soient prévus par des plans d urgence et que les acteurs internes et externes à l entreprise soient informés des dispositions à prendre. La mise en œuvre concrète est articulée autour des domaines de : la gouvernance : une gestion cohérente de l'ensemble des activités, la motivation et la coordination de tous, la gestion des risques, le contrôle interne, la conformité aux lois, règlements ou autres référentiels. Témoignage sur le management par les risques informatiques (secteur privé) 20

Une approche «articulée» de management par les risques informatiques sox GXP Qualité Analyse de risque Policies management Sécurité 21 Témoignage sur le management par les risques informatiques (secteur privé) 21

Département Compliance et Gestion des risques Organisation Compliance & Risk management 25 internes en France (autant en externe) Sites representatives Assistant Risk management & security Internal control IS Quality & Compliance Method and tools Group coordination 22 Témoignage sur le management par les risques informatiques (secteur privé) 22

Les référentiels utilisés Risk IT : un référentiel et un guide utilisateur Parmi les outils "normalisants" on peut discerner Les référentiels de bonnes pratiques, apportant une diminution des risques par la bonne santé du système d'information : BS 15000, ISO 20000 : voir ci-dessous ITIL, ITIL : dédié à la qualité de fourniture de services informatiques en externe, comme en interne, CMMi : référentiel dédié au développement des systèmes et logiciels, COBIT : utilisé pour la gouvernance et l'audit des systèmes d'information et acteur important de la conformité à Sarbanes Oxley. GxP : Bonnes pratiques pharmaceutiques Les normes dédiées à la sécurité, qui définissent des grilles de critères à respecter BS 7799, ISO 17799 : code de bonnes pratiques dédiées à la sécurité des systèmes d'information, Critères Communs, ISO 15408 : qui concernent la certification de systèmes directement impliqués dans la sécurité comme les éléments de réseau, BSI PAS56 : qui définit les principes de création du BCM (Business Continuity Management), Gestion de la Continuité de Service. Témoignage sur le management par les risques informatiques (secteur privé) 23

Approche «articulée» : gouvernance Un référentiel avec notamment : une Directive définissant les principes fondamentaux de la Gestion de Risque IS, des processus, des procédures, des guides des outils de gestion risques, des audits et des plans d action associés Réunions mensuelles du réseaux des responsables de risques sites, démontrant la mobilisation du réseau et permettant l échange, la capitalisation et les retours d expériences entre les acteurs gestion des risques sites. Un comité des risques intra C&RM mensuel Un comité de pilotage trimestriel Un reporting mensuel au Codir de la DSI AI concernant les cartographies des risques et le suivi des plans d actions Un reporting régulier au CoDir des Affaires Industrielles Séminaire annuel : rassemblant les représentants des sites, des 5 continents, des intervenant extérieurs sur le thème de la gestion des risques & opportunités Témoignage sur le management par les risques informatiques (secteur privé) 24

Approche IRM «Integrated Risk Management» Processus et Principes Sensibiliser à l approche par les risques Mécanismes d appropriation de la Gestion de Risque Aider à l identification des risques Aider à l établissement des plans d actions Suivre les plans d actions Témoignage sur le management par les risques informatiques (secteur privé) 25

Méthodologie BCP BUSINESS adaptée CONTINUITY suivant MANAGEMENT LIFE les CYCLE scenarii de Project mode Analysis Design Implementation crise Business Impact Analysis En 2005 - Approche Sanofi «BCP/DRP» Risk Assessment IS Risk Assessment HR - Vigiflu Action Plan Identification IS Continuity Plan/DRP Set-up IS Site Continuity Plan Set-up Vigiflu IS Risk mitigation Maintenance Cycle Check if Plan is still in line with business requirements Update Plan as needed BC Central Team Local BC Representatives Risk Assessment Other resources 6 months Site Continuity plan Set-up Other resources Site Business Continuity Plan 6 months (TBD) Change Management Maintenance procedures Document and Test Day-to-day basis Local BC Organization Témoignage sur le management par les risques informatiques (secteur privé) 26

Analyse des enjeux Sanofi : la dépendance du SI sur un site industriel Planifier 15 processus majeurs étudiés 204 activités retenues 157 activités sont couvertes par des SI soit 87% 9 applications critiques à 1J 10 applications entre 3 et 7 J 2 applications à 2 semaines 8 applications à 1 mois Gérer les achats Ordonnancer Gérer les stocks et le magasin matière Produire Gérer la qualité ( contrôle qualité) Gérer la qualité (Assurance Qualité) Distribuer Gérer et maintenir l'outil de production (Maintenance ) Assurer le contrôle de gestion et la gestion budgétaire Tenir la comptabilité Gérer les données techniques Gérer la sécurité Gérer l'environnement Témoignage sur le management par les risques informatiques (secteur privé) 27

En 2005 - Approche Sanofi «BCP/DRP» PHASE D ANALYSE PHASE DE CONSTRUCTION PHASES 1 Analyse d impact métier (BIA) Evaluation des risques Identification des plans d actions 2 3 4 Développement et mise en œuvre ACTIVITES CLES Définition des enjeux métiers du site (productivité, CA ) Formalisation de l activité métier (processus et activités) Identification des processus métiers critiques Identification des ressources critiques nécessaires à l activité métier (SI, RH ) Evaluation des menaces liées au contexte et à l activité du site Evaluation des vulnérabilités des ressources (SI, RH ) Identification des risques critiques à partir des évaluations précédentes Validation des risques à traiter en priorité Identification des activités de réduction du risque (prévention / protection) sur les SI Identification des stratégies de reprises pour les ressources SI en adéquation avec les exigences métiers Evaluation financière des plans d actions SI Validation des plans d actions SI Identification des mesures de préparation et de gestion de crise en période pandémique Ecriture des procédures de contournement Ecriture du Plan de Secours Organisation définie de gestion de continuité d activité (y compris gestion de crise) scénarii pandémique et désastre informatique Réalisation des activités de réduction du risque Construction ou optimisation des stratégies de reprises LIVRABLES Fondamentaux du site Liste des processus critiques Dépendances des ressources Objectifs de reprises Analyse des menaces Analyse des vulnérabilités Analyse des risques les plus critiques Plan d actions de réduction du risque sur les SI Plan d actions pour la construction du plan de continuité en cas de désastre informatique Résumé du Plan de Continuité Site pour Vigiflu Plan de Continuité d Activité du Site Plan de Continuité d Activité en cas de désastre informatique (y compris plan de secours) Plan de Continuité d Activité en cas de crise pandémique OUTILS Shadow Planner SONAR RADAR Shadow Planner Témoignage sur le management par les risques informatiques (secteur privé) 28

Depuis 2009 - l approche Sanofi «Risk Management IS/IT» Analysis Project mode Implementation Maintenance Cycle Day-to-day basis BCP Business Impact Analysis Risk Assessment - IS Risk Assesment - HR - Vigiflu IS Action Plan Identification Vigiflu Action Plan Identification IS Continuity Plan Set-up IS Risk mitigation Implementation Vigiflu Continuity Plan Set-up Check if Plan is in line with business requirements Update Plan as needed Sécurité Change Manageme nt Maintenance procedures Document and Test RM Site Central BIA Processus Critiques Activités Critiques Lien direct Business = IT Systèmes critiques Sécurité des SI et IT Systèmes Centraux Processus existant Organisations : IS, Achat, HSE,.... Préparation Analyse Plan de couverture 4 3 T D Cycle de vie Gestion de Risque C I 2 1 D. Disponibilité I. Intégrité C. Confidentialité T. Traçabilité 1. Identifier 2. Evaluer 3. Traiter 4. Suivre 2009 2010 2012 Témoignage sur le management par les risques informatiques (secteur privé) 29

Depuis 2009 - Approche Sanofi «Risk Management IS/IT» Analyse de risque IS/IT Initialization Kick-off Analyse Immediate actions: Actions within 3 months. Long term actions 2 hours 2 hours From 1 to 3 days Plan d action Suivi de l implementation Scan sécurité Initialization Kick-off Scan & Analysis 2 hours 1 hours 2 days for configuration Site scan may span over 1 to 2 weeks 3 days to produce reports No. 30 xx/xx/2011 Témoignage sur le management par les risques informatiques (secteur privé) 30

Plan de la présentation 1. Introduction - contexte Sanofi 2. Le management par les risques informatiques Les enjeux de Sanofi L approche 3. Points de vigilance, points de repères Conclusion Questions réponses Témoignage sur le management par les risques informatiques (secteur privé) 31

Points de vigilance Silos, multiplicité des acteurs et des expertises, Des dispositifs de contrôle qui s agrègent mais ne s articulent pas : audit interne, contrôles permanents, contrôles informatiques,... Manque de vision commune des risques informatiques entre la fonction informatique et les Directions Métiers,. Dresser une liste exhaustive des risques possibles, à défaut d'un lien avec la stratégie et les priorités. Les efforts peuvent porter sur l'élaboration et la communication de listes de risques plutôt que sur la gestion du portefeuille de risque. Pire, le top management peut avoir l'impression que le risque est géré alors qu'il ne l'est pas. Défaut d instances de pilotage et de coordination Témoignage sur le management par les risques informatiques (secteur privé) 32

Points de repère Sponsoring : la gouvernance IT doit être promue et sponsorisée par la Direction et les Directeurs de Départements. Le degré de visibilité dont bénéficient les activités de gestion des risques et les résultats obtenus. L adéquation des ressources budgétaires et humaines qui y sont allouées. La qualité du processus mis en œuvre à cette fin et son évolution en fonction des expériences vécues. La formation et la sensibilisation dispensées. La quantification des activités et des résultats obtenus. Les facteurs humains et la culture : la perception du risque est sujette à des facteurs subjectifs, tels que la tolérance aux risques, les connaissances générales propres à chaque individu et même à des facteurs culturels propres à différentes communautés. Témoignage sur le management par les risques informatiques (secteur privé) 33

Un mot de conclusion La période actuelle joue un rôle de révélateur et d accélérateur pour le renforcement des mécanismes de pilotage des risques informatiques. La qualité de ces mécanismes (et des résultats) reste tributaire de la mobilisation de l ensemble des acteurs impliqués et passe par une information / une formation aux enjeux du pilotage des risques. Enfin, en développant une meilleure appréhension des facteurs de risques, l entreprise améliore sa capacité à saisir les opportunités nouvelles. Témoignage sur le management par les risques informatiques (secteur privé) 34