Les entreprises spécialisées dans les sciences de la vie sont exposées à de nombreux risques de cybersécurité spécifiques à leur secteur d’activité. Les sociétés pharmaceutiques et biotechnologiques, les fabricants d’appareils médicaux et les prestataires de services, tels que les laboratoires de test ou les instituts de recherche, sont en possession d’un grand nombre de données précieuses, de technologies opérationnelles, de systèmes informatiques ou encore de propriétés intellectuelles d’importance critique qu’il convient de gérer, de sécuriser et de protéger.
Alors que les principes fondamentaux de la cybersécurité peuvent s’appliquer à quasiment toutes les entreprises, quel que soit leur secteur d’activité, la présente liste met en évidence les domaines spécifiques sur lesquels les entreprises du secteur des sciences de la vie en Europe et au Royaume-Uni doivent se concentrer.
Les cyber-risques les plus courants pour les entreprises du secteur des sciences de la vie sont les suivants :
Ces attaques peuvent avoir de graves conséquences. Elles peuvent notamment entraîner un dysfonctionnement des appareils, une interruption de la production, des pertes financières, mais également porter atteinte à la réputation de l’entreprise et compromettre la sécurité des patients.
L’intégration de spécialistes informatiques dans le processus d’analyse des risques permet d’identifier les vulnérabilités en matière de cybersécurité et de mettre au point des stratégies d’atténuation ou de prendre des mesures de sécurité plus strictes. L’analyse des risques informatiques peut également contribuer à atténuer les risques liés aux technologies de l’information susceptibles d’avoir une incidence sur la fiabilité et la fonctionnalité des appareils.
La surveillance de la sécurité des technologies opérationnelles, telles que les équipements de laboratoire ou de production spécialisés, est toute aussi importante que celle des technologies de l’information pour les entreprises du secteur des sciences de la vie. Des analyses régulières des systèmes, des évaluations de la vulnérabilité et une surveillance continue du réseau peuvent aider à détecter et à identifier les anomalies et permettre de réagir rapidement en cas d’activités suspectes. L'installation périodique de correctifs de sécurité et la mise à jour régulière des logiciels contribuent également à atténuer toute vulnérabilité potentielle.
Pour la plupart, les entreprises du secteur des sciences de la vie gèrent de grandes quantités de données médicales dont la récupération ou l’altération par des cybercriminels pourrait avoir de graves conséquences. Les données doivent être classées par catégorie de risque et les informations médicales protégées (PHI pour Protected Health Information) bénéficier du niveau de protection le plus strict avec un accès limité aux seuls collaborateurs qui en ont besoin. En appliquant certaines mesures de protection des données, comme le cryptage des bases de données, des ordinateurs portables et des systèmes connectés à Internet, il est plus difficile pour une personne malveillante d'accéder à ces informations. Il faut également veiller à la conformité avec les réglementations locales en matière de données, notamment le RGPD. Les informations très sensibles qui sont intrinsèques à la valeur de l’entreprise, nécessitent également des contrôles stricts au sein du réseau d'entreprise.
L’authentification multifactorielle (MFA pour Multi-Factor Authentication) offre un niveau de sécurité supplémentaire en exigeant des collaborateurs qu’ils confirment leur identité via différentes méthodes. Ce dispositif réduit considérablement le risque d’accès non autorisé. Grâce à l’authentification multifactorielle, les entreprises du secteur des sciences de la vie peuvent en outre consigner et suivre chaque acte d’authentification et ainsi identifier les personnes ayant eu accès à leurs données ou à leurs systèmes. Cette fonctionnalité renforce la responsabilisation, aide à identifier toute corruption ou violation de données éventuelle et permet de prendre des mesures immédiates en cas d'activités suspectes ou hostiles.
La sécurisation physique des locaux peut contribuer à protéger les données de valeur et la propriété intellectuelle des entreprises du secteur des sciences de la vie. Ces entreprises ont la possibilité de procéder à un contrôle approfondi du personnel, en particulier des personnes ayant accès à des données sensibles. Si le stockage des données est assuré sur le site ou si des infrastructures informatiques ou de technologies opérationnelles critiques y sont hébergées, il peut être utile d’investir dans un onduleur ou un générateur de secours. Un stockage sécurisé des actifs de valeur peut aussi être envisagé, accompagné de systèmes de contrôle d’accès appropriés pour le personnel et les visiteurs.
Les entreprises du secteur des sciences de la vie peuvent se préparer efficacement aux cyber incidents en mettant en œuvre un plan de reprise après sinistre (DRP pour Disaster Recovery Plan) complet qui décrit étape par étape les procédures d’intervention et de reprise d’activité en cas de cyberattaques. Il s’agit entre autres d’élaborer des protocoles clairs relatifs au signalement des incidents, notamment à l’autorité de protection des données compétente, et relatifs à la gestion des incidents et aux stratégies de communication. Il est également recommandé de tester régulièrement le plan de reprise après sinistre en place et de dispenser aux collaborateurs une formation continue sur le plan d’intervention. La mise en œuvre d’un plan de continuité des activités (PCA) peut également contribuer à garantir la poursuite, autant que possible, des activités de l’entreprise à la suite d’un incident.
Les entreprises du secteur des sciences de la vie collectent et gèrent des données médicales protégées, leurs propres données et leur propriété intellectuelle. Il leur est donc recommandé de se protéger contre les failles de cybersécurité. Toutes les mesures proposées ici sont conformes aux principes de confidentialité, d'intégrité et de disponibilité. Il est également recommandé aux entreprises du secteur des sciences de la vie de se familiariser avec la norme ISO 27001 sur la cybersécurité et d’échanger sur ce sujet avec les ingénieurs spécialisés dans la prévention des risques de leur partenaire d’assurance.
Spécialisé dans les sciences de la vie depuis plus de 25 ans, Chubb propose des produits dédiés, soutenus par une équipe d’experts du secteur – souscripteurs, ingénieurs en risques et gestionnaires de sinistres. De la responsabilité civile produit aux essais cliniques en passant par la responsabilité civile professionnelle, sans oublier l’assurance des biens, la cybersécurité et l’assurance transport, nous sommes là pour vous. Nous apportons notre soutien de la phase initiale de R&D aux projets multinationaux complexes. Contactez-nous dès aujourd’hui pour savoir comment notre expertise et notre expérience dans les sciences de la vie peuvent vous être utiles.
Ce document est d’ordre informatif et constitue une ressource à utiliser conjointement avec les recommandations de vos conseillers en assurance entreprise dans le cadre de votre programme de prévention des sinistres. Il s’agit d’une simple présentation qui n’a pas vocation à se substituer à un rendez-vous avec votre courtier d’assurance ou à des recommandations d’ordre juridique, technique et professionnel.
Chubb Versicherungen (Schweiz) AG / Chubb Insurance (Switzerland) Limited / Chubb Assurances (Suisse) SA, Bärengasse 32, 8001 Zürich, T + 41 43 456 76 00, chubb.com/ch-fr
Nous sommes là pour y répondre.