Certaines équipes de développement de produits logiciels pensent que les méthodes agiles sont contradictoires avec les exigences des environnements régulés. D’autres récoltent déjà les bénéfices de l’Agilité. Dans les secteurs industriels, là où la conformité aux audits est incontournable, il reste souvent une hésitation majeure dans l’adoption des approches agiles : « Est ce que au final, notre produit va être conforme? »


Agile et Conformité sont incompatibles?

Parmi les premières objections de la pertinence de l’agilité pour les environnements réglementés, on peut encore entendre:

« En agile, il n’y a plus de documentation. Donc ca ne répond pas aux exigences réglementaires qui en demandent beaucoup. »

« L’approche itérative et souple des méthodes agiles est en désaccord avec la rigueur nécessaire pour la validation et la gestion des exigences. » 

« Les méthodes agiles sont centrées à fournir ce qui a le plus de valeur au client, alors que les environnements réglementés sont d’abord concentrés sur la sureté . »

Pour être honnête, aux premiers abords, les méthodes agiles semblent inadaptées pour le développement de logiciel soumis aux normes. Mais, si de nombreuses équipes les ont adoptées, y compris dans les environnements régulés pour le développement de logiciels embarqués, c’est parce qu’il y a des arguments forts. Les composants logiciels sont parfaitement validés, les produits finaux sont de qualité, les auditeurs ont dit « conformes » et les clients sont contents. Un cercle vertueux. Comment est-ce possible?

Comme nous le précisons dans cet autre article : Agile et Conforme aux normes : c’est possible et avantageux. On peut réussir un audit réglementaire et développer en agile. Et on peut même aller plus loin: l’agilité est un levier qui facilite la conformité. En effet, en insistant sur la nécessité de gérer les tests au plus tôt, l’agile permet de créer une conformité continue; chaque jalon de développement apporte les preuves de respect des exigences réglementaires. Les approches agiles permettent une validation incrémentale, plus facile, moins risquée.

Concernant la documentation, la mécompréhension vient du fait que l’agilité élimine toute documentation. L’agilité promeut un logiciel opérationnel plutôt qu’une documentation complète, oui, mais elle laisse pleinement la place à toute autre documentation qui serait nécessaire, comme par exemple, celle exigée pour les preuves de validation et d’exécution des tests, ou encore celle de la gestion des risques. 
On peut donc développer en agile et créer uniquement la documentation exigée par le client ou la réglementation, sans faire du travail papier supplémentaire et inutile. Typiquement, la documentation peut faire partie des critères d’exigences et de la Définition of Done de chaque User Story.

Les approches agiles assurent que les livraisons peuvent s’adapter aux dates butoirs réglementaires qui n’étaient pas claire ou inconnues au début du projet.


Conformité « processus » vs Conformité « produit »

Les norme telles que celles qui portent sur le Système de Management de la Qualité (en anglais Quality Management System), comme dans le médical avec l’IEC 62304, ou les modèles de référence qualité comme Automotive SPICE, définissent les objectifs à atteindre pendant le cycle de vie d’un logiciel à travers la mise en oeuvre d’un ensemble d’activités. Il s’agit d’un cadre qui permet de suivre et d’évaluer si le fonctionnement du processus répond aux exigences. Contrairement à certaines idées reçues, ces normes et standards liés aux « processus » n’imposent pas de méthodes précises (par contre, la conformité liée au « produit » ne laisse pas de place à l’interprétation et votre produit doit strictement y répondre).


La différence entre un processus conforme ou non, provient non pas du « QUOI » mais du « COMMENT », c’est à dire de la façon de faire. C’est à ce niveau que des divergences peuvent apparaitre. Être conforme, cela signifie plutôt démontrer les pratiques mises en place dans l’entreprise qui prouvent que tout est sous contrôle, qu’une gestion de qualité, de l’amélioration continue est cadrée et qu’au final le produit répond bien aux exigences. Les méthodes et les outils pour organiser et déployer les activités ne sont donc pas décrits dans la normes.


En matière de gestion de projet, des exigences, de la qualité, vos équipes ont le droit de choisir leur méthode de développement: Waterfall, cycle en V mais également des approches plus agiles comme Scrum, Kanban, Scaled Agile Framework, ou encore d’adopter une méthode à mi-chemin, une approche hybride.


Les approches hybrides plaisent à tous: auditeurs et équipes de développement

Certaines réglementations (tel que l’ISO 26262 et l’Automotive SPICE) placent clairement la documentation au centre de la conformité. Pour être conforme, il faut prouver les processus adéquats, les documenter et montrer les changements des artefacts tout au long du cycle de développement, avec une traçabilité complète et un contrôle des permissions. 
Dans ce type de cas, pour satisfaire les auditeurs et tout de même profiter des avantages amenés par l’agilité, nous avons constaté que nos clients utilisaient les approches hybrides, un mélange de Waterfall et de bonnes pratiques agiles.

Une solution d’Application Lifecycle Management ou ALM comme Tuleap peut faciliter cela, alignant les équipes, créant des liens bi-directionnels entre les exigences, les tests, les artefacts agiles et les documents. Les processus et les workflow peuvent être cadrés en avance et exigeants des membres des équipes des éléments qui faciliteront les preuves de conformité pour les audits.

Et la preuve que ça marche. Voici ce que disent nos clients (ils ont témoignés en anglais):

Tuleap makes it possible to manage quality assurance and requirements simultaneously. During audits, it’s easier to provide evidences that what we have delivered to customers complies with requirements.

Quality Manager -Embedded Software

As a company that works with PHI, we needed a platform that was either HIPAA-compliant.

Portfolio Manager- Healthcare

Tuleap has become our number-one tool for our ASPICE evaluations.

Quality Assurance Engineer- Automotive

Tuleap brings greater security, efficiency, and trust to our audit-related processes for ISO 13485 compliance

Software Manager- Healthcare

Quand la MedTech approuve officiellement les approches agiles

Parlons d’’agilité plus spécifiquement pour le développement d’équipements médicaux. Face aux hésitations des équipes de développement logiciel dans le secteur médical, l’AAMI, l’Association for the Advancement of Medical Instrumentation, a bien étudié le sujet. Il faut dire, les fabricants de dispositifs médicaux doivent répondre à des réglementations extrêmement exigeants et en constante évolution. Ce qui fait hésiter les développeurs a faire évoluer leurs façons et leur outils de collaboration, certains préférant rester avec un cycle en V.

Pour lever ce débat, l’AAMI a donc rédigé un Guide de l‘utilisation des pratiques agile dans le développement de logiciels de dispositif médicaux (souvent entendu sous la terminologie « SaMD Software as a Medical Device »). Ce guide dénommé « AAMI TIR45:  Guidance on the use of AGILE practices in the development of medical device software, » fait désormais consensus et a été reconnu par la FDA. L’objectif était justement de montrer comment les pratiques agiles pouvaient effectivement être compatibles avec les exigences réglementaires auxquelles doivent répondre les entreprises de la MedTech. 

Ce guide montre les aspects suivants:

  • Plus les équipes maturent en terme d’agilité, plus il devient évident que l’ agilité ne contredit pas les exigences réglementaires pour le développement logiciel médical.
  • La FDA a officiellement approuvé les méthodes agiles comme approche valide.

De façon plus générale, les auditeurs sont désormais d’accord pour dire que l’agilité est approprié pour le développement de dispositifs médicaux.


Conclusion

Malgré les réticences compréhensibles que les équipes de développement de logiciels critiques peuvent parfois avoir, l’expérience nous montre que vous pouvez apporter plus d’agile dans votre méthode de travail, y compris dans les environnements réglementés. Cela sera même grandement bénéfique : vous allez pouvoir créer votre conformité de façon continue, tout en ayant sous la main, les preuves et documentation nécessaires à apporter aux auditeurs. En phase de transition, les approches hybrides sont très efficaces.

Aller plus loin