Un secteur sensible et vulnérable
Les laboratoires pharmaceutiques génèrent, et gèrent, d'énormes quantités de données sensibles liées à la recherche et au développement de médicaments et brevets. Ces données sont des cibles de choix pour les cybercriminels, en raison de leur valeur commerciale due à leur confidentialité. Les brevets, les résultats d'essais cliniques et les formules médicamenteuses sont des données critiques, que recherchent avec convoitise les cybercriminels. Des exemples récents ont mis en lumière la vulnérabilité de ces secteurs, ayant subi des attaques qui ont compromis la sécurité des données de recherche.Outre la protection des données, l'intégrité des processus de production pharmaceutique est une préoccupation majeure. La manipulation ou l'introduction de défauts dans la chaîne de production pourrait avoir de lourdes conséquences. En effet, de telles attaques peuvent menacer la qualité et la fiabilité des médicaments.
Selon des rapports récents, les attaques ciblant l'industrie pharmaceutique ont augmenté de manière alarmante. Environ 36 % des industries pharmaceutiques ont signalé au moins une violation de données au cours de l'année écoulée, tandis que 18 % des laboratoires ont été touchés par des cyberattaques et ont vu leurs recherches confidentielles être compromises.
Alors, comment protéger ces données ?
Pour contrer ces menaces, des mesures de cybersécurité résilientes sont cruciales. Le renforcement de la sécurité des réseaux de recherche par la mise en place de procédures strictes d'accès, et de chiffrement de données, est essentiel pour protéger les informations sensibles. De même, la surveillance continue des processus de production est une étape incontournable pour préserver leur intégrité et leur sécurité. L’utilisation de systèmes de détection avancés, et de technologies de surveillance, permettrait de détecter toute anomalie potentielle dans la fabrication des médicaments.La future directive NIS 2 jouera un rôle essentiel dans la protection du secteur de la santé contre les cybermenaces, assurant la continuité des services médicaux et la sécurité des données médicales. Elle favorise également la collaboration entre les différentes parties prenantes pour renforcer la résilience globale du secteur face aux défis croissants de la cybersécurité, notamment via l’identification des OSE (Opérateurs de Services Essentiels). Ces OSE comprennent les hôpitaux, les services d'urgence ou encore les laboratoires médicaux. Cette directive encourage également la collaboration entre les autorités nationales, et les opérateurs de services essentiels, pour partager des informations sur les menaces et incidents de sécurité.
De plus, l'industrie pharmaceutique n'est pas en reste en ce qui concerne l'adoption de l'internet des objets (IoT). Ce secteur utilise cette technologie pour révolutionner les processus de production, de stockage et de distribution. Cependant, cette évolution vers une connectivité accrue ajoute des défis significatifs en termes de cybersécurité. La sécurité de l’écosystème IoT utilisé dans la fabrication pharmaceutique est primordiale, en raison de leur grande vulnérabilité aux cyberattaques. Afin de contrer ces menaces, des mesures de sécurité avancées doivent être mises en place. Comme, par exemple, l'application de protocoles de sécurité robustes centrés sur la machinerie, la mise à jour régulière des logiciels utilisés par les appareils connectés, ainsi que l'instauration de mécanismes de surveillance en temps réel - pour détecter toute activité suspecte tant sur le réseau, que sur les machines.
La convergence entre la cybersécurité et le secteur de la santé est plus que jamais vitale. Elle permet de garantir la protection des données sensibles, mais également d'assurer la protection des médicaments et de préserver l'intégrité des processus de recherche et de production. La collaboration stratégique entre ces domaines est très importante pour développer une approche efficace, novatrice et proactive, essentielle pour neutraliser les menaces croissantes de cybersécurité.
Par Zacharie Attali, consultant sécurité GRC chez Synetis