Vous avez été redirigé vers la version locale de la page demandée
Faire une demande

Comment les nouvelles réglementations GMP et la loi européenne sur la cyber-résilience vont affecter les laboratoires

23 mars 2026

Article

fr

Découvrez l'impact des nouvelles réglementations BPF et de la loi européenne sur la cyber-résilience (CRA) sur les laboratoires. Découvrez les changements à venir, comment adapter votre équipement et vos logiciels, et comment Metrohm aide les laboratoires à rester en conformité.

Politique de confidentialité

J'autorise Metrohm AG, ses filiales et ses distributeurs exclusifs à conserver et à traiter mes données conformément à sa Politique de confidentialité et à me contacter par e-mail, par téléphone ou par courrier pour répondre à ma demande et à des fins publicitaires. Je peux retirer ce consentement à tout moment en envoyant un e-mail à info@metrohm.com.

Ce champ est obligatoire.

Ces dernières années ont vu une forte augmentation du nombre de cyberattaques visant les infrastructures critiques et les entreprises. Cette évolution a placé la cybersécurité sous les feux de l'actualité. En conséquence, les gouvernements du monde entier adoptent des législations visant à renforcer la cybersécurité. La législation la plus marquante est la loi sur la cyber-résilience (CRA) de l'Union européenne [1]. D'autres exemples incluent le « Cyber Trust Mark » américain ou la loi chinoise sur la cybersécurité [2,3].

Ces législations ont conduit à une mise à jour des réglementations GMP, qui aura des répercussions sur les laboratoires évoluant dans un environnement réglementé à l’échelle mondiale. Cet article de blog s’appuie sur un entretien avec Stefan Gohr, responsable des services aux entreprises au siège international de Metrohm. Il présente les principaux changements, explique leur impact sur les laboratoires, fournit des conseils aux responsables de laboratoire sur les premières mesures à prendre et explique comment Metrohm se prépare à répondre aux exigences de la CRA.

Cliquez ici pour accéder directement à une rubrique :

La loi sur la cyber-résilience (CRA) en bref

La loi sur la cyber-résilience (CRA) a été publiée en 2024 par l'Union européenne et adoptée à l'automne de la même année. L'objectif de la CRA est de renforcer la cybersécurité en renforçant les normes de sécurité applicables aux produits commercialisés sur le marché européen.

La CRA s'applique aux produits comportant des éléments numériques. Cela inclut non seulement les logiciels, mais aussi les appareils capables d'échanger des données avec d'autres systèmes.

Cette nouvelle loi sera mise en œuvre en deux étapes :

  • Septembre 2026 : les fournisseurs doivent commencer à signaler les failles de cybersécurité à l'Enisa, the European Union Agency for Cybersecurity.
  • Décembre 2027 : les produits non conformes au règlement CRA ne pourront plus être commercialisés au sein de l'UE.

C'est surtout cette deuxième étape qui aura des conséquences plus importantes pour les laboratoires, car ceux-ci pourraient ne plus être en mesure de se procurer des pièces de rechange ou des pièces de remplacement.

La CRA entraîne des modifications de la réglementation relative aux BPF

En vertu de la CRA, les fournisseurs doivent mettre en place des processus de gestion des vulnérabilités. Cela implique notamment de procéder à des mises à jour de sécurité régulières des produits et, si des failles de sécurité sont détectées, de les corriger immédiatement.

Cette exigence va à l'encontre d'une pratique établie de longue date dans le secteur réglementé, qui consiste à ne mettre à jour les systèmes validés qu'en cas de nécessité. Cependant, la cybersécurité ne peut être négligée dans ce secteur, car ces entreprises produisent des biens essentiels.

C'est pourquoi le comité GMP a mis à jour le chapitre 4 « Documentation » et l'annexe 11 « Systèmes informatisés » [4]. La consultation sur ces mises à jour s'est déroulée de juillet à octobre 2025, et les lignes directrices révisées devraient entrer en vigueur dès 2026.

Politique de confidentialité

J'autorise Metrohm AG, ses filiales et ses distributeurs exclusifs à conserver et à traiter mes données conformément à sa Politique de confidentialité et à me contacter par e-mail, par téléphone ou par courrier pour répondre à ma demande et à des fins publicitaires. Je peux retirer ce consentement à tout moment en envoyant un e-mail à info@metrohm.com.

Ce champ est obligatoire.

Quel sera l'impact de la mise à jour de la CRA et de la GMP sur les laboratoires ?

Les directives de l'ARC et les lignes directrices actualisées en matière de bonnes pratiques de fabrication auront une incidence sur les processus de validation et pourraient nécessiter le remplacement des équipements actuels.

Tout d'abord, la fréquence accrue des mises à jour logicielles et des mises à jour de sécurité peut entraîner une augmentation du nombre de revalidations du système. Les laboratoires devront élaborer des stratégies pour la mise en œuvre des correctifs de sécurité et des mises à jour du système, couvrant non seulement le système d'exploitation (par exemple Windows), mais aussi les logiciels de laboratoire essentiels. Conformément aux lignes directrices révisées des BPF, les laboratoires soumis à la réglementation doivent suivre les recommandations fournies par les fournisseurs. Les mesures recommandées comprennent des mises à jour de sécurité distinctes et un environnement de test dédié.

Deuxièmement, l'ARC interdira la vente d'appareils et de logiciels d'analyse non conformes. Si les appareils et logiciels vendus avant décembre 2027 sont exemptés, toute mise à jour de ces produits devra être conforme. Pour certains fournisseurs, l'adaptation des anciens produits aux nouvelles réglementations pourrait s'avérer trop complexe et trop coûteuse. En conséquence, ils pourraient cesser la commercialisation de ces produits et déclarer la fin du support d'ici 2027.

Les laboratoires soumis à une réglementation qui souhaitent continuer à utiliser des appareils non conformes pendant plus longtemps devront mettre en place un environnement informatique d'urgence, en isolant complètement ces appareils de leur réseau et d'Internet. Dans le cas d'instruments d'analyse intégrés à des systèmes LIMS et ERP, cette approche est peu pratique et peut compromettre l'intégrité des données.

Les laboratoires non réglementés peuvent réaliser leur propre évaluation des risques et décider de continuer à utiliser des appareils non conformes pour pallier le manque jusqu'à ce que de nouveaux investissements soient possibles. Ils doivent toutefois être conscients que retarder les remplacements augmente les risques de sécurité, car les failles de sécurité s'aggravent avec le temps.

Que peuvent faire les laboratoires pour se préparer et garantir leur conformité ?

Figure 1. Mesures que les laboratoires soumis à une réglementation peuvent prendre pour se préparer à la mise à jour des lignes directrices relatives aux BPF et au CRA.

Les laboratoires peuvent prendre plusieurs mesures pour se préparer à la mise à jour des directives relatives aux bonnes pratiques de fabrication (BPF) et à la loi sur la cyber-résilience (voir Figure 1).

  1. Évaluer le matériel et les logiciels actuels afin d'identifier les lacunes potentielles.
  2. Élaborer une stratégie de mise en œuvre des mises à jour de sécurité afin de réduire au minimum les efforts de revalidation.
  3. Mettre en place un environnement de test dédié afin de s'assurer que les mises à jour ne perturbent pas les opérations.

La mise à jour des lignes directrices relatives aux BPF et la CRA entraîneront une augmentation de la charge de travail et des coûts pour les laboratoires soumis à la réglementation. En entamant dès maintenant le processus de planification et en établissant une feuille de route, les laboratoires pourront mieux se préparer à ces changements.

Évaluer l'équipement actuel du laboratoire

La première étape consiste à évaluer l'ensemble des appareils et des logiciels actuellement utilisés. Les laboratoires devraient également contacter leurs fournisseurs, tels que Metrohm, afin de s'informer sur leurs plans de mise en conformité pour des produits spécifiques.

Les questions clés à aborder sont les suivantes :

  • Les appareils et les logiciels bénéficient-ils toujours du support du fournisseur ?
  • Les fournisseurs tiennent-ils compte des directives de l'ARC et des lignes directrices actualisées en matière de BPF ? Quelle est leur procédure pour gérer les vulnérabilités des produits ? Comment comptent-ils fournir les mises à jour de sécurité ?
  • Le fournisseur continuera-t-il à assurer le support des appareils ou des logiciels après décembre 2027 ?

Si la réponse à l'une de ces questions est négative, les laboratoires doivent prévoir des budgets pour le remplacement des systèmes ou élaborer des stratégies visant à isoler le système en collaboration avec leur service informatique. Si plusieurs systèmes sont concernés, il convient d'établir un plan d'action pour leur remplacement ou leur isolation en fonction de leur importance pour le bon fonctionnement des opérations.

SBOM et HBOM : des indicateurs pratiques du niveau de préparation

Lorsqu'ils évaluent les solutions logicielles actuelles, les laboratoires doivent vérifier si la liste des composants logiciels (SBOM) est disponible. La SBOM, rendue obligatoire par la CRA, répertorie les informations essentielles concernant tous les composants utilisés pour développer le logiciel, y compris les composants tiers. Elle permet de déterminer si le logiciel contient des composants présentant des vulnérabilités connues.

En général, la SBOM est fournie sous forme de fichier texte dans le répertoire d'installation ou répertoriée dans la documentation du produit. Si aucune SBOM n'est disponible, les laboratoires doivent considérer cela comme un signe d'alerte indiquant que le produit n'est peut-être pas prêt pour la Loi sur la cyber-résilience. Dans de tels cas, il est recommandé de contacter le fournisseur et de confirmer si une SBOM sera fournie avant l'entrée en vigueur de la loi.

Pour le matériel, l'équivalent de la SBOM est la HBOM (liste des composants matériels). Un fichier HBOM est nécessaire pour tout appareil contenant un micrologiciel. Les fournisseurs devront fournir le fichier HBOM sous forme numérique. Il est recommandé de contacter les fournisseurs et de leur demander le fichier ou la date à laquelle il sera disponible.

Élaborer une stratégie de mise en œuvre des mises à jour de sécurité

Les nouvelles réglementations BPF et l'ACR prévoient des mises à jour de sécurité régulières. Afin de réduire au minimum les efforts de validation et le risque d'interruption de la production, les laboratoires devraient élaborer une stratégie de mise en œuvre.

Les mises à jour de sécurité distinctes sont essentielles pour réduire l'effort lié aux revalidations. Les mises à jour logicielles régulières combinent à la fois de nouvelles fonctionnalités et des correctifs de sécurité, ce qui nécessite une validation complète. En revanche, les mises à jour de sécurité distinctes corrigent uniquement les failles de sécurité sans ajouter de nouvelles fonctionnalités. Leur portée étant plus restreinte, la validation est plus rapide et moins complexe.

Une validation rapide est souhaitable, car les failles de sécurité critiques doivent être corrigées le plus rapidement possible. Attendre six à neuf mois avant qu'une revalidation complète ne soit effectuée n'est pas acceptable dans le cas d'une faille de sécurité critique.

Mettre en place un environnement de test

L'installation de mises à jour de sécurité comporte toujours un risque de défaillance du système, pouvant entraîner un arrêt de la production. Pour atténuer ce risque, les laboratoires devraient envisager de mettre en place un environnement de test.

Dans ce scénario, les correctifs de sécurité sont d'abord installés sur le système de test et les fonctionnalités clés nécessaires aux opérations quotidiennes sont testées de manière approfondie. Ce n'est qu'après avoir testé avec succès les fonctionnalités concernées par le correctif de sécurité dans l'environnement de test que celui-ci sera déployé dans l'environnement de production. La figure 2 illustre la différence entre un laboratoire disposant d'un environnement de test et un laboratoire qui n'en dispose pas.

Figure 2. Différence entre les laboratoires disposant ou non d'un environnement de test. En cas de problèmes liés à la mise à jour de sécurité, l'absence d'environnement de test peut entraîner un arrêt de la production.

Les grandes entreprises peuvent envisager de mettre en place trois environnements : développement/qualification, test et production. L'environnement de développement/qualification sert à l'élaboration et à la validation des méthodes. L'environnement de test est une réplique de l'environnement de production ; il utilise par exemple le même réseau et les mêmes pare-feu. Enfin, les opérations quotidiennes, telles que le contrôle qualité pour la mise sur le marché des produits, s'effectuent dans l'environnement de production.

La mise en place d'un environnement de test supplémentaire entraîne des coûts supplémentaires et nécessite davantage de ressources informatiques, en particulier pour les systèmes client/serveur. Découvrez l'importance d'un système évolutif et rentable dans le livre blanc gratuit :

Livre blanc : Pourquoi passer à OMNIS Client/Serveur (C/S) ?

Comment Metrohm garantit-elle le respect de la loi sur la cyber-résilience ?

Le logiciel de plateforme OMNIS de Metrohm sera entièrement conforme aux directives GMP et à la CRA.

Metrohm s'est préparé depuis un certain temps déjà à ces réglementations afin de s'assurer que nous serons en mesure de satisfaire aux exigences de la CRA et des BPF applicables aux fournisseurs lorsque ces réglementations entreront en vigueur. Nous pouvons garantir que notre plateforme logicielle OMNIS répondra à ces exigences. Le fichier SBOM est déjà disponible dans le répertoire d'installation, et nous publions une déclaration de cybersécurité à chaque nouvelle version. Cette déclaration est disponible dans la base de connaissances Metrohm. Les fichiers HBOM sont en cours de préparation.

Les clients peuvent s'attendre à recevoir régulièrement des mises à jour et des correctifs de sécurité pour OMNIS. Nous contacterons directement les clients ayant souscrit un contrat de maintenance OMNIS. Pour les autres clients, nous étudions actuellement différentes options de communication.

Différentes versions d'OMNIS pour répondre à différents besoins

Les exigences du secteur en matière de mises à jour logicielles varient. Dans certains secteurs, les mises à jour automatiques régulières, similaires à celles des applications mobiles, sont acceptables. Cependant, dans les environnements réglementés, de telles mises à jour automatiques ne sont pas souhaitables. De plus, les réseaux des laboratoires peuvent ne pas être connectés à Internet.

C'est pourquoi Metrohm propose deux versions d'OMNIS. Elles se distinguent par leurs garanties d'assistance et de service ; voir le tableau 1 pour connaître les différences.

Tableau 1. Différences entre la version standard d'OMNIS et la version OMNIS LTS.
Fonctionnalité Version standard Version à support à long terme (LTS)
Garantie d'assistance logicielle La garantie d'assistance expire après la sortie de la prochaine version Assistance garantie pendant 5 ans à compter de la date de sortie
Garantie de service La compatibilité de toutes les pièces est garantie jusqu'à la sortie de la prochaine version Garantie de bon fonctionnement de toutes les pièces pendant 5 ans à compter de la date de mise sur le marché
Assistance pour les procédures IQ/OQ IQ/OQ non disponibles Qualification du système informatique entièrement documentée, accompagnée d'une documentation complète conforme à la norme FDA 21 CFR Partie 11 et à l'annexe 11 du volume 4 d'EudraLex
Renouvellement de la qualification La requalification n'est pas disponible Possibilité de renouvellement de la qualification
Mises à jour de sécurité Publié régulièrement Déployé manuellement selon la stratégie définie par le client

Comment Metrohm aide les clients qui doivent remplacer des systèmes non conformes

L'équipe Metrohm Enterprise Services, dirigée par Stefan Gohr (à gauche), accompagne les clients évoluant dans un environnement réglementé dans leur migration vers la plateforme OMNIS.

Le matériel et les logiciels qui ne seront plus pris en charge par les fournisseurs devront être remplacés, car leur mise hors réseau de l'entreprise ne constitue qu'une solution temporaire. Le passage à un nouveau produit, en particulier à une nouvelle solution logicielle, pose divers défis. Afin d'accompagner ses clients dans leur transition vers OMNIS, Metrohm a mis en place l'équipe Metrohm Enterprise Services. Cette équipe propose des services spécialisés de conseil et de mise en œuvre adaptés aux besoins et à la situation spécifiques de chaque client.

Metrohm Enterprise Services propose également des contrats de maintenance pour OMNIS, garantissant la gestion des vulnérabilités et des correctifs de sécurité. En collaboration avec les experts informatiques et de sécurité du client, elle élabore une stratégie de déploiement des correctifs de sécurité. Un responsable de service supervisera la mise en œuvre et le suivi de cette stratégie pendant toute la durée de vie d’OMNIS sur le site du client.

Conclusion

La mise à jour des directives GMP et du CRA va transformer le mode de fonctionnement des laboratoires soumis à réglementation. Les laboratoires peuvent commencer à se préparer à ces changements en évaluant leurs équipements et logiciels actuels. Certains systèmes devront peut-être être remplacés, car ils ne seront plus pris en charge lorsque le CRA et l'annexe 11 révisée des GMP entreront en vigueur.

Les mises à jour de sécurité régulières deviendront la norme, la cybersécurité étant un processus continu. Cette évolution nécessitera des changements dans la manière dont les laboratoires mettent à jour, revalident et assurent la maintenance de leurs systèmes d'analyse. Il faudra peut-être installer des environnements de test supplémentaires pour garantir un fonctionnement continu.

Seules les solutions conformes aux réglementations BPF mises à jour et au CRA, telles qu’OMNIS, permettront aux laboratoires de rester en conformité. Pour faciliter la transition vers OMNIS, Metrohm a créé Metrohm Enterprise Services, qui travaille en étroite collaboration avec les clients pour les aider à déployer et à maintenir un environnement OMNIS sécurisé, adapté à leur stratégie de sécurité spécifique.

Autres ressources

Brochure : OMNIS Client/Server

Livre Blanc : Pourquoi passer à OMNIS Client/Serveur (C/S) ?

Metrohm Enterprise Services

Logiciel OMNIS

Blog : Introduction à la qualification des instruments d'analyse

 

References

[1] European Commission. Cyber Resilience Act. Shaping Europe’s digital future. https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act (accessed 2025-12-18).

[2] Federal Communications Commission. U.S. Cyber Trust Mark. Federal Communications Commission (FCC). https://www.fcc.gov/CyberTrustMark (accessed 2025-12-18).

[3] Creemers, R.; Webster, G.; Triolo, P. Translation: Cybersecurity Law of the People’s Republic of China (Effective June 1, 2017). DigiChina, 2018.

[4] European Commission. Stakeholders’ Consultation on EudraLex Volume 4 - Good Manufacturing Practice Guidelines: Chapter 4, Annex 11 and New Annex 22 - Public Health. Public Health. https://health.ec.europa.eu/consultations/stakeholders-consultation-eudralex-volume-4-good-manufacturing-practice-guidelines-chapter-4-annex_en (accessed 2025-12-18).

Auteurs
Meier

Lucia Meier

Technical Editor Marketing
Metrohm International Headquarters, Herisau, Switzerland

Contact

Gohr

Stefan Gohr

Head of Enterprise Services
Metrohm International Headquarters, Herisau, Switzerland

Contact