Le Forum des Dispositifs Médicaux
Test de pénétration et fournisseur critique?
Citation de Olivier Besch le 13 février 2024, 12 h 13 minBonjour à tous,
Je ne pose des questions que sur ce sujet et j'en suis désolé.
De façon à réaliser des tests de pénétration sur nos applications logicielles, nous avons fait appel à une entreprise spécialisée. Est-ce que vous considéreriez ce fournisseur comme critique ?
Cette notion est bien nébuleuse, est-ce qu'un fournisseur qui fait des tests de sécurité peut être considéré comme influençant la conformité d produit final... J'aurais tendance à dire non mais essentiellement car ça m'arrange :-)
Merci d'avance pour votre partage d'expérience.
Bonjour à tous,
Je ne pose des questions que sur ce sujet et j'en suis désolé.
De façon à réaliser des tests de pénétration sur nos applications logicielles, nous avons fait appel à une entreprise spécialisée. Est-ce que vous considéreriez ce fournisseur comme critique ?
Cette notion est bien nébuleuse, est-ce qu'un fournisseur qui fait des tests de sécurité peut être considéré comme influençant la conformité d produit final... J'aurais tendance à dire non mais essentiellement car ça m'arrange :-)
Merci d'avance pour votre partage d'expérience.
Citation de Guillaume Valenzuela le 13 février 2024, 14 h 23 minBonjour,
Que ce passe-t-il si ce fournisseur ne fait pas bien son travail ? (i.e. impact sur la sécurité et les performances ?)
En fonction de la réponse à cette question, vous aurez votre réponse... 😉
J'aurais tendance au contraire à le placer en fournisseur critique.
Bien à vous
Guillaume
Bonjour,
Que ce passe-t-il si ce fournisseur ne fait pas bien son travail ? (i.e. impact sur la sécurité et les performances ?)
En fonction de la réponse à cette question, vous aurez votre réponse... 😉
J'aurais tendance au contraire à le placer en fournisseur critique.
Bien à vous
Guillaume
Citation de Olivier Besch le 13 février 2024, 15 h 23 minPour clarifier le contexte de ma question, je suis en train de compléter une annexe pour TüV Sud qui va leur permettre de réaliser le devis sur la prochaine année en cours.
L'intitulé de l'annexe est - Details on Suppliers, Subcontractors and authorized representative(s)
Please specify all suppliers and/or subcontractors that significantly influence the conformity of the finished device (Note: Suppliers and/or subcontractors will not appear on the certificate).Please provide a copy of the quality management certificate held by the supplier and/or subcontractor for the products, components and/or services supplied. The provided certificate should fulfill the following requirements: (1) The certificate should be issued to the supplier/subcontractor identified in this section. (2) The certificate should be a valid ISO 13485 certificate. (3) The scope of the certificate should cover the products, components and/or services supplied. (4) The certification body issuing the certificate should be accredited by an IAF accreditation body member
En sortie, l'organisme notifié peut décidé d'auditer le fournisseur.
J'ai l'impression que cela est très corrélé à la notion de processus sous-traités...
Notamment la notion de certificat; comment peut-on exiger un certificat 13485 pour un spécialiste en sécurité informatique généraliste?
Pour clarifier le contexte de ma question, je suis en train de compléter une annexe pour TüV Sud qui va leur permettre de réaliser le devis sur la prochaine année en cours.
L'intitulé de l'annexe est - Details on Suppliers, Subcontractors and authorized representative(s)
Please specify all suppliers and/or subcontractors that significantly influence the conformity of the finished device (Note: Suppliers and/or subcontractors will not appear on the certificate).
Please provide a copy of the quality management certificate held by the supplier and/or subcontractor for the products, components and/or services supplied. The provided certificate should fulfill the following requirements: (1) The certificate should be issued to the supplier/subcontractor identified in this section. (2) The certificate should be a valid ISO 13485 certificate. (3) The scope of the certificate should cover the products, components and/or services supplied. (4) The certification body issuing the certificate should be accredited by an IAF accreditation body member
En sortie, l'organisme notifié peut décidé d'auditer le fournisseur.
J'ai l'impression que cela est très corrélé à la notion de processus sous-traités...
Notamment la notion de certificat; comment peut-on exiger un certificat 13485 pour un spécialiste en sécurité informatique généraliste?
Citation de Benoît Daclin le 14 février 2024, 12 h 05 minEst ce que la prestation de ce sous-traitant est ponctuelle ou bien récurrente? Si c'est du ponctuel alors considérez que c'est une prestation et non un processus sous-traité.
Ensuite comme le dit Guillaume, votre analyse de risque et ou votre procedure achat doivent vous permettre de caractériser votre fournisseur comme critique ou non et détailler le niveau de maitrise nécessaire (et pas forcément de l'ISO 13485) .
Par exemple pour une société réalisant des étalonnages ou des vérifications d'appareils de mesure, on se moque qu'elle soit certifiée 13485, mais on s'intéressera plutot à son accréditation Cofrac en lien avec la presta réalisée.
PS n'oubliez pas de mettre le TUV dans la liste de vos fournisseurs critiques (et eux non plus ne sont pas certifiés 13485)
Est ce que la prestation de ce sous-traitant est ponctuelle ou bien récurrente? Si c'est du ponctuel alors considérez que c'est une prestation et non un processus sous-traité.
Ensuite comme le dit Guillaume, votre analyse de risque et ou votre procedure achat doivent vous permettre de caractériser votre fournisseur comme critique ou non et détailler le niveau de maitrise nécessaire (et pas forcément de l'ISO 13485) .
Par exemple pour une société réalisant des étalonnages ou des vérifications d'appareils de mesure, on se moque qu'elle soit certifiée 13485, mais on s'intéressera plutot à son accréditation Cofrac en lien avec la presta réalisée.
PS n'oubliez pas de mettre le TUV dans la liste de vos fournisseurs critiques (et eux non plus ne sont pas certifiés 13485)
Citation de Mathilde Béal le 14 février 2024, 15 h 33 minJe considère comme de la prestation intellectuelle. Donc en renfort de compétences, maîtrisé via le process RH étendu aux consultants. Il suffit de demander à l'entreprise spécialisée 2 CV type de consultants et écrire lettre de mission (équivalent fiche de poste avec les liens fonctionnels avec vos équipes) dans le contrat .
Ça peut aller un peu plus loin, on peut imaginer animer une formation pour l'équipe, co écrire un mode opératoire.
Dans la voie " Renfort de compétences il faut réfléchir quelles sont les compétences de l'équipe actuelle, les besoins identifiés. Et comment vont collaborer entreprise externe et équipe en place pour couvrir l'ensemble compétences attendues.
Cdt
Mathilde
Je considère comme de la prestation intellectuelle. Donc en renfort de compétences, maîtrisé via le process RH étendu aux consultants. Il suffit de demander à l'entreprise spécialisée 2 CV type de consultants et écrire lettre de mission (équivalent fiche de poste avec les liens fonctionnels avec vos équipes) dans le contrat .
Ça peut aller un peu plus loin, on peut imaginer animer une formation pour l'équipe, co écrire un mode opératoire.
Dans la voie " Renfort de compétences il faut réfléchir quelles sont les compétences de l'équipe actuelle, les besoins identifiés. Et comment vont collaborer entreprise externe et équipe en place pour couvrir l'ensemble compétences attendues.
Cdt
Mathilde