Category

Alignement

Le CHR Liège pourrait devenir le premier hôpital francophone à obtenir la certification ISO 27001

By | Alignement, Conformité, Direction Générale, Gestion de projets, Gouvernance, Hospitalier, Info Sec, IT, Performance, Qualité, Quartiers Opératoires, Sécurité de l'information | No Comments

Contexte

Le CHR Liège, une ville dans la ville
Le CHR Liège est des acteurs majeurs de la santé en Province de Liège mais aussi un de ses principaux employeurs avec quelques 3.530 collaborateurs et plus de 490 médecins.  Chaque année, il accueille 600.000 patients grâce à ses 897 lits agréés et ses 140.000m2 d’installations réparties sur 3 sites (Citadelle, Sainte-Rosalie, Château Rouge).

Un SMART hôpital dans une SMART city
Depuis plusieurs années, le CHR Citadelle poursuit une politique d’amélioration et d‘excellence de ses services et mène, entre autres, plusieurs projets au niveau de :

  • La qualité des soins
    Démarche d’obtention de la prestigieuse accréditation JCI.
    NB. La Joint Commission International- JCI est une organisation américaine réputée qui fixe un grand nombre de normes internationales en matière de qualité des soins et de sécurité du patient et certifie les plus grands hôpitaux.
  • La qualité et protection de l’information
    • Mise en conformité RGPD/GPDR : protection des données à caractère personnel
    • Mise en conformité par rapport à la directive européenne NIS (cybersécurité des infrastructures critiques).
    • Certification ISO 27001 : sécurité des systèmes informatiques

Solutions.

Pour quelles raisons Mielabelo a-t-il remporté l’appel d’offres qui pourrait faire du CHR Liège le premier hôpital francophone à disposer de la certification ISO 27001 ?

Réaliser une mission de cette envergure est un premier challenge, la réussir en est un autre.
Ce succès repose tout autant sur la qualité́ des experts en place que sur la capacité de l’organisation à anticiper et à accompagner le changement.  Grâce à sa connaissance du référentiel ISO 27001, Mielabelo accompagne ainsi le CHR Liège dans sa gestion du changement et lui permet de maximiser la contribution du projet à ses objectifs stratégiques grâce à 5 leviers :

  1. Un véritable accompagnement opérationnel
    Une flexibilité d’accompagnement sur le terrain qui suivra l’hôpital et ses équipes pas à pas jusqu’à l’obtention de la certification en décembre 2019
  2. Des méthodes agiles
    Mielabelo propose un référentiel de mise en place ISO 27001 qui intègre la maturité du client et se déploie en fonction de ses ressources réelles et non théoriques.
  3. Une connaissance pratique et pragmatique du secteur de la santé
    Engagé depuis de nombreuses années dans le secteur de la santé et de la sécurité de l’information, Mielabelo connaît les écueils de ce type de mission ainsi que les actions concrètes à mettre en œuvre pour atteindre les objectifs et tenir les délais.
  4. Un programme de formations internes
    Au travers de son centre de formation Campus Mielabelo, Mielabelo a la capacité interne de former les collaborateurs du CHR et de leur apporter les certifications PECB ISO 27001/5 nécessaires.
  5. Une capacité à gérer le changement culturel
    Souvent sous-estimée, l’évolution de la culture d’entreprise joue un rôle prépondérant dans la réussite des projets stratégiques. Pour y parvenir, Mielabelo assure l’implication des collaborateurs au travers de campagnes de sensibilisation aux enjeux liés à la sécurité de l’information

Résultats

En accompagnant de manière opérationnelle la certification ISO 27001 du CHR Liège, Mielabelo contribue à la transformation globale vers une « médecine 2.0 » qui mise sur les technologies du futur pour mieux soigner ses patients tout en protégeant leurs données.

Depuis le démarrage de la mission ISO27001, le CHR Liège a déjà obtenu une reconnaissance de la qualité du travail sous forme de récompenses.

Au concours « PUBLICA AWARDS 2018 » organisé par la société EBP récompensant les meilleurs projets publics de l’année, le CHR Liège a obtenu deux récompenses qui sont publiées sur le site du « PUBLICA AWARD 2018 »:

  • Publica Awards « Sécurité » – médaille de Bronze
    ISO27001 au CHR Liège – Centre Hospitalier Régional de la Citadelle
  • Publica Awards « Bonne Gouvernance » – médaille de Bronze
    ISO27001 au CHR Liège – CHR Liège

Cinq raisons de lancer un projet de certification ISO27001

By | Alignement, Banque/Assurance, Chimie, Conformité, Direction Générale, Hospitalier, Industrie, Info Sec, IT, Pharmaceutique, Public/Institutions, Sécurité de l'information, Transports Publics | No Comments

Contexte.

La norme ISO27001 s’est imposée depuis plusieurs années comme LA référence en matière de sécurité de l’information. Cette norme, ainsi que les différents documents qui l’accompagnent (ISO27002, ISO27005, etc.), permet de structurer les efforts en matière de sécurité de l’information, en instaurant la primauté de la gestion de risques dans la réflexion liée à la sélection de mesures de sécurité.

Quels sont les avantages concrets de la mise en œuvre d’un système de management de la sécurité de l’information (SMSI) ‘estampillé’ 27001 ?

  1. Se différencier et créer un avantage compétitif
    Dans le contexte d’un marché où peu de concurrents ont fait l’effort d’investir dans ce type de certification, le précieux sésame peut rapidement se transformer en une arme commerciale redoutable. Bien utilisé, l’argument aidera à marquer la différence avec les concurrents.
  2. Gérer ses risques de manière systématique et inspirer la confiance chez ses partenaires
    L’obtention d’une certification peut constituer un signal d’engagement vers les différentes parties prenantes. La certification ISO 27001 d’une organisation délivre un message fort en direction de ses partenaires, qu’ils soient clients, employés, citoyens ou fournisseurs et contribue ainsi à créer une relation de confiance. Elle démontre :

    • que l’organisation a mis en place des processus efficaces de gestion de la sécurité de l’information
    • que la direction considère la sécurité de l’information comme une thématique importante à laquelle des moyens humains et financiers sont alloués.
  1. Répondre à un besoin ou une exigence de vos clients
    De nos jours, la sécurité de l’information et la protection des données à caractère personnel est devenue un sujet d’actualité. Clients et partenaires peuvent dès lors raisonnablement s’inquiéter du traitement réservé aux informations confiées à leurs prestataires et même, les obliger à adapter leurs procédures. La certification ISO27001 pourrait ainsi se généraliser dans le panel des exigences des acheteurs publics ou privés.
  1. Réduire les coûts de gestion de la sécurité
    La norme ISO27001 instaure le rôle central de la gestion des risques dans l’exercice de sélection des mesures de sécurité. Gérer ses risques de sécurité, c’est tout d’abord les identifier, les évaluer de manière répétable et répétée, décider du traitement à y apporter et sélectionner des mesures de sécurité en adéquation avec l’ampleur des risques identifiés. De par sa structure et les réflexes qu’elle promeut, la norme ISO27001 aide à sécuriser de manière raisonnable et raisonnée les informations et à ne pas surinvestir inutilement dans la protection des données.
  1. Assurer la conformité
    Règlement Général de Protection des Données, normes d’industrie telles que PCI-DSS ou SOX, lois et règlementations (inter)nationales en vigueur… autant d’éléments à prendre en compte pour lesquels une mise en œuvre ciblée d’un SMSI 27001 pourrait permettre d’obtenir une conformité et d’éviter toute amende ou sanction éventuelle.

 

Solutions

Sur le terrain, les consultants de Mielabelo ont notamment la charge de :

  • Implémentation et maintien d’un système de management de la sécurité de l’information ISO 27001
  • Analyse de risque (ISO 27005), analyse d’impact sur la vie privée
  • Plan de traitement des risques et mise en œuvre de mesures de sécurité (ISO 27002)
  • Protection des données à caractère personnel et gestion de la conformité
  • Sensibilisation, formation et sensibilisation vers les différents acteurs impliqués

L’accréditation dans le secteur hospitalier

By | Alignement, Conformité, Direction commerciale, Direction Exploitation, Direction Générale, Gestion de projets, Gouvernance, Hospitalier, IT, Logistique, Production, Qualité, Qualité/Validation, Quartiers Opératoires | No Comments

Contexte.

De nombreux hôpitaux à Bruxelles et en Wallonie se lancent dans un processus d’accréditation.

Besoin de certifier leur démarche d’amélioration ? De renforcer leur trajet Qualité, épée de Damoclès dans un contexte changeant ?  Effet de mode ? Mimétisme avec nos voisins français ? …  Les raisons de ce changement sont multiples ! C’est en tout cas une démarche qui fait actuellement son chemin dans le secteur hospitalier.

Mielabelo et l’UCL Mons se sont associés pour tirer quelques enseignements des premières mises en oeuvre de ces trajets d’accréditation.

Le questionnaire a été testé avec des coordinateurs qualité (généralement en charge de l’accréditation).  Une quarantaine d’hôpitaux ont été sollicités pour participer au sondage, en Wallonie et à Bruxelles.

Quels sont les principaux écueils des démarches d’accréditation actuelles ?

Gestion des priorités.
Pour 40% des répondants, l’accréditation en soi n’est pas réellement une priorité, même si la qualité des soins reste un objectif fondamental des hôpitaux. En effet, les ressources des hôpitaux sont parois absorbées par des projets d’infrastructure qui prennent beaucoup d’énergie, des Rapprochements, fusions, synergies qui induisent des perturbations organisationnelles importantes, etc.

Un pilotage top-down
Près de ¾ des initiatives proviennent d’un organe de Direction ou de décision à haut niveau; la Direction Générale, en plus d’y voir une contribution à sa démarche qualité, y perçoit un avantage intrinsèque par rapport à des attentes, à venir du SPF.  Un élément très favorable dans ce contexte est d’obtenir un soutien important au sein de l’Institution et, de ce fait, associer des projets connexes (ex: gestion électronique des documents) à la démarche.

L’accréditation des hôpitaux relève de la volonté d’un Comité de Direction (au sens large) qui anticipe un changement réglementaire.  Elle est semblable aux démarches qualité (type ISO 9001) qui ont débuté il y a 30 ans dans l’industrie.  Il s’agit de mettre en place une « Culture Qualité », supportée par un Système de Gestion de la Qualité (QMS).  Les bonnes pratiques industrielles – et elles sont nombreuses – pourraient donc être largement mises à profit dans ce contexte.

L’accréditation apparaît donc principalement comme une démarche Top-Down.

Un déficit d’appropriation sur le terrain
L’accréditation est certes bénéfique à l’Institution et aux patients mais le personnel de terrain ne semble pas en retirer un bénéfice direct.  Le risque existe donc que la démarche s’essouffle après l’obtention du précieux sésame.

La mise en œuvre demande beaucoup d’énergie et de créativité aux coordinateurs qualité qui n’ont pas toujours l’expérience et l’accès à un référentiel de bonnes pratiques de mise en œuvre alors que ces approches existent dans d’autres secteurs.

 

Solution

La démarche d’accréditation devra donc, au-delà de la formalisation de standards, produire des améliorations opérationnelles pragmatiques et palpables pour le personnel et mener à la mise en œuvre d’un écosystème de gestion de la qualité impliquant le terrain, au-delà même de la coordination qualité.  Pour la pérennisation de l’accréditation, la mise en œuvre d’un Change Management opérationnel est une étable incontournable.

Dans ce type de démarche d’accréditation, il est dès lors essentiel:

  • d’impliquer le Comité de Direction afin de rendre visible le projet et de le soutenir pendant toute sa durée,
  • d’investir dans un programme de sensibilisation et d’information des différents types de personnel (médical, paramédical, administratif, etc.), idéalement au travers d’une plateforme centrale de type portail,
  • de mettre en oeuvre une structure de relais qualité afin d’intégrer la démarche au coeur même des services de l’hôpital mais aussi de pérenniser la démarche d’amélioration,
  • de se doter des outils requis afin de gérer facilement la documentation produite et de la rendre facilement traçable et auditable,
  • de s’inspirer des bonnes pratiques de gestion de systèmes Qualité en recourant à du soutien externe spécialisé, le cas échéant. »

Piloter ses projets Smart City

By | Alignement, Gestion de projets, Gouvernance, Performance, Public/Institutions, Qualité | No Comments

Contexte.

Enjeu technologique du 21ème siècle, cette ville intelligente permettra aux pouvoirs publics locaux ou régionaux de relever des défis majeurs comme la mobilité, le bien-vivre, la gouvernance, l’efficience énergétique, etc.

Ces projets d’envergure se distinguent par :

  • leur taille (une métropole, une région)
  • le grand nombre d’acteurs à coordonner tant au niveau des citoyens que des pouvoirs publics, politiques, économiques, académiques.

Face à de tels enjeux, une approche classique en gestion de projets (Prince2, PMI, etc.) ne permet pas de garantir la participation et la bonne interaction des acteurs, ni le pilotage des projets pour atteindre les objectifs stratégiques voulus.

 

Solutions

Depuis 2013, Mielabelo a investi dans une veille spécifique au concept de Smart City.  Notre approche de « Smart City Office » repose sur :

  • La constitution d’un organe consultatif et représentatif des différents acteurs impliqués (Administration, Pouvoirs politiques, acteurs économiques, réseaux académiques et de recherche, associations représentatives) permettant un dialogue et une concertation sur le choix des priorités,
  • Un système de co-création permettant à ces mêmes acteurs d’alimenter la réflexion sur les solutions à mettre en œuvre pour rencontrer leurs enjeux respectifs, avec un système d’ateliers créatifs et de gestion centralisée des connaissances sur la thématique Smart City (publications, retours d’expériences, initiatives nationales et européennes),
  • Un système de pilotage des projets allant au-delà des suivis budgétaires et des échéances mais permettant de mesurer l’impact réel des projets sur les domaines concernés (ex : mobilité) sur base d’indicateurs de référence de type DESI ou CityKeys.

Implémentation des normes SOX chez Industeel

By | Alignement, Conformité, Gouvernance, Industrie, Info Sec, IT | No Comments

Contexte

La loi Sarbanes-Oxley Act (SOX) réglemente les activités de reporting et d’audit financier des sociétés cotées en bourse.  Elle impose des exigences strictes de reporting et tient les cadres dirigeants pour responsables de l’exactitude des données financières, divulgation et contrôles internes, et prévoit des amendes en cas de non-conformité.

Du point de vue de la sécurité informatique, la loi SOX exige par ailleurs des preuves montrant que les applications financières et les systèmes et services sur lesquels elles reposent sont sécurisés de manière adéquate. Il faut notamment fournir un rapport annuel contenant les contrôles et procédures internes mis en œuvre pour le reporting financier, ainsi qu’une évaluation de l’efficacité de ces contrôles et procédures confirmée par un auditeur externe.  Cela engendre généralement une importante charge d’amélioration de la documentation et des processus sur la sécurité IT et les activités IT en général.

Solution

L’intervention de Mielabelo par rapport à ces problématiques s’est déclinée en trois moments :

  • Un état des lieux de type pré-audit
  • Une rédaction des principaux processus et procédures de sécurité
  • La mise en place d’une solution de gestion ITSM pour prendre en charge les incidents informatiques

1. Etat des lieux

Tout d’abord, le client Industeel était sur le point d’accueillir des auditeurs SOX et souhaitait préparer au mieux cet audit en obtenant un état des lieux externes de sa conformité, principalement au niveau des IT General Controls. La première partie de la mission visait donc la réalisation d’un audit vis-à-vis de la conformité IT face aux réglementations SOX. L’intérêt principal de ce type d’audit est, d’une part, de fournir un état des lieux en termes de conformité et de mettre en évidence les points d’amélioration possibles (tant en termes d’organisation, de processus ou de gestion opérationnelle).  D’autre part, ce type d’audit permet également de proposer un ensemble de recommandations de mise en œuvre, assortis d’un plan d’actions permettant d’atteindre, à minima, les objectifs de conformité.

Mielabelo a :

  • réalisé l’audit sur base d’interviews et d’analyse des documents disponibles
  • rédigé le rapport d’audit reprenant les différents constats d’audit, un état des lieux en termes de conformité SOX, un ensemble de recommandations d’amélioration et un plan d’action permettant la mise en œuvre de celles-ci
  • réalisé une présentation couvrant les différents points repris dans le rapport d’audit aux différentes parties prenantes.

 

2. Accompagnement du client

A la suite de ce premier état des lieux, la mission s’est poursuivie par un accompagnement du client dans la mise en œuvre des recommandations et du plan d’action formulés lors de l’audit. Ces recommandations ont été déclinées au sein d’une approche méthodologique plus globale en termes de gestion de la gouvernance, des risques et de la conformité, concernant la mise en œuvre, le suivi et l’amélioration continue des éléments factuels définis au sein de la base documentaire.  Il a été réalisé dans ce contexte un découpage des activités d’accompagnement en différents domaines (Gestion ces accès, gestion des incidents, gestion des changements, gestion des sauvegardes et de la continuité, etc.) tel que proposé dans le plan d’actions initial.

Ce découpage a été implémenté au sens d’une approche commune pour chacun de ces domaines : la formalisation de la base documentaire, incluant notamment la documentation des politiques et des processus de référence, la conduite d’ateliers permettant, de façon collaborative, de clarifier certains points et d’apporter des améliorations aux documents initiaux et la mise à jour de ceux-ci, la formalisation et la mise à jour de l’ensemble de la base documentaire.

 

3. Mise en oeuvre ITSM

Enfin, de manière plus spécifique et suite aux recommandations, Industeel a demandé à Mielabelo de l’accompagner sur la mise en œuvre d’un outil ITSM.  Face à des contraintes de temps et la nécessité d’une mise à conformité rapide et facile, Mielabelo a recommandé de mettre en œuvre la solution Easy Vista.

Les principales réalisations ont été les suivantes :

  • Configuration du socle commun et du module d’administration
  • Mise en place des processus gestion des incidents, des demandes, des problèmes et des changements.
  • Mise en œuvre du module reporting, définition et réalisation des tableaux de bord
  • Données de base
  • Mise en œuvre des processus
  • Transfert des compétences
  • Reprise de la base des données existantes

Accompagnement du Groupe TEC dans l’introduction de la Billettique Mobib

By | Alignement, Direction commerciale, Direction Exploitation, Direction Générale, Gouvernance, Transports Publics | No Comments

Contexte

Une révision complète des activités et des bénéfices stratégiques du projet à garantir.

En 2015, le Groupe TEC a lancé la mise en place de sa billettique sans contact Mobib, basée sur un support unique permettant d’accueillir à terme les titres de transport  des quatre opérateurs de transports publics  belges.
Cette nouvelle billettique transformait de manière profonde les habitudes pour les consommateurs (facilité d’usage et d’achat mais aussi obligation de validation obligatoire à chaque montée) mais aussi les activités du groupe :

  • Nouvelles façons de vendre avec 170 automates de vente, l’e-Shop pour les rechargements,
    ou les 1.500 Points TEC pour l’achat des tickets sans contact jetables
  • Nouveaux terminaux de vente et nouvelle orientation plus axée sur le service d’accueil,
    d’information et de service après-vente au niveau des Espaces TEC
  • Nouvelles façons de travailler pour les chauffeurs, les contrôleurs et les équipes
    d’exploitation

 

Solution

Pour faire face à des difficultés d’appréhension de ces enjeux terrain, le Groupe TEC a fait appel à Mielabelo.
Celui-ci a pris en charge la description et la documentation des toutes les activités impactées afin de répondre aux besoins de compréhension et de formation des équipes tout en gardant en ligne de mire les objectifs et exigences du projet (obligation de validation, simplification pour l’usager, respects des règles de confidentialité dans le traitement des données, contrat avec le fournisseur de la solution billettique, etc.)

 

Résultats

Dans ce cadre, l’intervention de Mielabelo a permis de produire les résultats suivants:

  • Fourniture de l’ensemble des procédures & instructions de travail nécessaire pour les équipes concernées.
  • Construction du référentiel « activités – rôles & responsabilités – fonctions- savoir- faire » en lien avec les initiatives RH, pour préciser les besoins de compétences et les ranges.
  • Support à l’appropriation de la démarche générale et des concepts d’appréhension des activités et processus (coaching des responsables d’activités).

L’ensemble a permis d’alimenter la conduite du changement et de mettre à niveau l’ensemble des équipes impactées pour faire face à l’échéance de bascule dans le nouveau mode de fonctionnement.

Audit des activités de support du Parlement Bruxellois

By | Alignement, Direction Générale, Gouvernance, Public/Institutions | No Comments

Contexte

Le Parlement Bruxellois est à la fois l’entité Politique et l’ensemble des bâtiments permettant le bon
fonctionnement des institutions qui y siègent. La gestion des bâtiments et des moyens et services associés à destination des parlementaires et du bureau, est donc une activité particulièrement sensible, qui relèvent de la responsabilité des services
du Greffe, et plus particulièrement de la Direction Infrastructure & logistique et du Service Informatique.

 

Solution

Dans ce contexte, de nombreux dysfonctionnements observés, tant en termes de qualité des services délivrés que de fonctionnement internes des équipes concernés, constituaient une menace à la fois pour l’image du Greffe et pour le bien être des collaborateurs. Face à ces problèmes importants et pour pouvoir réagir en connaissance de cause, le Greffe a fait appel à Mielabelo, qui est donc intervenu en mars 2015 pour réaliser un audit.

Celui-ci était basé non pas sur la recherche de responsabilités individuelles et sur l’application d’un modèle managérial standardisé, mais sur la recherche participative des causes racines de dysfonctionnement, de leur interaction et de leur impact sur les activités, et des axes d’amélioration issues des bonnes pratiques.

L’objectif était de clairement identifier comment modifier l’organisation et les pratiques managériales afin de stabiliser le management et d’optimiser les interactions au niveau des services rendus conjointement par les différentes équipes, aussi bien de la Direction I&L que du Service Informatique.

Pour ce faire, Mielabelo a notamment déployé une démarche d’analyse multi dimensionnelle de cause à effet dite Ishikawa, issue au départ du monde de la gestion de la qualité industrielle et adaptée par Mielabelo au contexte des activités de service et des administrations.

 

Résultats

Le Greffe a disposé d’un rapport de synthèse structuré, rapport défendu par la suite par les
consultants Mielabelo devant le Bureau du Parlement en session, pour explication des orientations
préconisées.