Cybersécurité et industrie pharmaceutique

L’industrie pharmaceutique française a connu un passage à vide qui a duré une quinzaine d’années. Période pendant laquelle notre secteur pharmaceutique a perdu sa place de leader européen en termes de production, malgré un total de 271 sites en activité sur tout le territoire… Relégué au pied du podium, l’industrie pharmaceutique française a dû attendre l’avènement de la pandémie pour que l’exécutif réagisse en la replaçant au-devant de la scène avec un plan de soutien. Un mal pour un bien, si l’on peut dire, sachant que le secteur est malmené depuis un bon moment par les attaques cyber…

Le gouvernement veut doper l’industrie pharmaceutique

Mieux vaut tard que jamais, le secteur pharmaceutique français retrouve des couleurs même si l’on peut trouver meilleure situation pour se relancer. Depuis l’arrivée de la pandémie en France, soit au printemps 2020, le gouvernement a mis en place une stratégie plaçant le secteur de la santé au centre des priorités nationales, notamment le plan de soutien et de relance France 2030.

Comme annoncé juin dernier lors du Conseil stratégique des industries de santé, le gouvernement va doper le secteur avec une enveloppe de 3,5 milliards d’euros (sur les 7,5 milliards prévus pour tout le plan de soutien et de relance).

Les méthodes de détermination des prix des médicaments ont été réexaminées afin que le lieu de production soit prix en compte. Cette initiative entre dans le cadre du projet de loi de financement de la sécurité sociale (PFLSS) pour cette année 2022.

La cyber insécurité plane sur le secteur pharmaceutique

L’industrie pharmaceutique fait partie des secteurs les plus touchés par la cyber-insécurité. Cela a commencé bien avant la pandémie. Cette dernière n’a fait qu’aggraver la situation. Il faut reconnaitre que les principaux acteurs du milieu sont encore en retard en matière de cybersécurité. Une étude publiée récemment par Outpost24 a mis en lumière des lacunes particulièrement inquiétantes chez les géants européens. Ces derniers n’utilisent même pas de chiffrement pour sécuriser les formulaires de demande de médicaments et leurs applications sont généralement obsolètes.

Résultat, ils deviennent de plus en plus vulnérables et selon l’étude, 80 % d’entre eux sont « gravement exposés ». En exploitant ces failles, les cybers criminels peuvent viser le système de gestion pour intercepter des documents confidentiels ou paralyser la production. Les pirates utilisent de plus en plus des rançongiciels pour tenter d’extorquer de l’argent aux entreprises. Une pratique qui a été multipliée par 4 entre 2019 et 2020, tous secteurs confondus.

Difficile de ne pas faire la corrélation avec la chute du nombre de d’études et d’innovations en matière de cybersécurité dans l’industrie pharmaceutique. Le nombre de demande de brevets a considérablement chuté en 2021. L’entreprise américaine Johnson & Johnson, dépositaire de 45 demandes de brevet de Septembre à Novembre 2021 (contre 111 à la même période en 2020), suivie par les entreprises suisses Novartis AG (22 demandes de brevet) et F. Hoffmann-La Roche (21 demandes de brevet) puis par l’entreprise américaine Brystol-Myers Squibb Co (20 demandes de brevet) étaient les plus actifs.

Comment les entreprises pharmaceutiques pourraient améliorer leur cybersécurité ?

À ce jour, il faut en moyenne 277 jours à une entreprise pharmaceutique pour reconnaître et bloquer un vol de données confidentielles. Un constat qui devrait alarmer ces sociétés et les pousser à investir de manière plus conséquente dans la cybersécurité. Plus concrètement, elles doivent renforcer leurs capitaux humains, mettre en place de nouveaux processus et acheter voire développer des solutions technologiques adaptées.

Cependant, beaucoup d’entreprises pharmaceutiques font déjà tout cela mais demeurent néanmoins vulnérables. En effet, ces investissements doivent être suivis de l’adoption de quelques mesures pratiques, basées sur le bon sens et une prise en compte généralisée du sujet. En premier lieu, il est nécessaire de sensibiliser pour que les enjeux de la cybersécurité et les modes opératoires des cybercriminels dans le détail soient compris. Ces sociétés doivent comprendre également qu’elles représentent des portes d’entrées faciles à ouvrir pour les pirates. Ensuite, il est essentiel de former les collaborateurs pour les responsabiliser davantage et pour qu’ils adoptent les bonnes pratiques (gestion de mots de passe, vigilance vis-à-vis de certains emails, etc.). Enfin, les mises à jour logicielles et le respect des impératifs de conformité permettront aux entreprises de mieux se protéger.

L’usage des technologies basées sur le cloud est également une solution pour rehausser la sécurité IT d’une société pharmaceutique. C’est d’ailleurs le choix du groupe Pierre Fabre, qui a été victime d’une cyberattaque d’ampleur en 2021.

Articles récents