Conseils en matière de cybersécurité à destination des entreprises du secteur des sciences de la vie

Les entreprises spécialisées dans les sciences de la vie sont exposées à de nombreux risques de cybersécurité spécifiques à leur secteur d’activité. Les sociétés pharmaceutiques et biotechnologiques, les fabricants d’appareils médicaux et les prestataires de services, tels que les laboratoires de tests ou les organismes de recherche sous contrat, sont en possession d’un grand nombre de données précieuses, de technologies opérationnelles, de systèmes informatiques ou encore de propriétés intellectuelles d’importance critique qu’il convient de gérer, de sécuriser et de protéger. 
 

Alors que les principes fondamentaux de la cybersécurité peuvent s’appliquer à quasiment toutes les entreprises, quel que soit leur secteur d’activité, la présente liste met en évidence les domaines spécifiques sur lesquels les entreprises du secteur des sciences de la vie en Europe et au Royaume-Uni doivent se concentrer. 
 

Analyse des risques informatiques

Les cyber-risques les plus courants pour les entreprises du secteur des sciences de la vie sont les suivants :

• piratage d’appareils médicaux, tels que les pompes à insuline ou les stimulateurs cardiaques ; 

• vol de données sur les patients dans les réseaux hospitaliers ou les systèmes informatiques des essais cliniques par le biais de produits ou de services des sciences de la vie ;

• manipulation des systèmes de gestion de l’environnement.
   

Ces attaques peuvent avoir de graves conséquences. Elles peuvent notamment entraîner un dysfonctionnement des appareils, une interruption de la production, des pertes financières, mais également porter atteinte à la réputation de l’entreprise et compromettre la sécurité des patients. 
 

L’intégration de spécialistes informatiques dans le processus d’analyse des risques permet d’identifier les vulnérabilités en matière de cybersécurité et de mettre au point des stratégies d’atténuation ou de prendre des mesures de sécurité plus strictes. L’analyse des risques informatiques peut également contribuer à atténuer les risques liés aux technologies de l’information susceptibles d’avoir une incidence sur la fiabilité et la fonctionnalité des appareils. 
 

Contrôles des technologies opérationnelles

Les contrôles de sécurité des technologies opérationnelles, telles que les équipements de laboratoire ou de production spécialisés, sont tout aussi importants que ceux des technologies de l’information pour les entreprises du secteur des sciences de la vie. Des analyses régulières des systèmes, des évaluations de la vulnérabilité et une surveillance du réseau 24 heures sur 24 et 7 jours sur 7 peuvent aider à détecter et à identifier les anomalies et permettre de réagir rapidement en cas d’activités suspectes. L'installation périodique de correctifs de sécurité et la mise à jour régulière des logiciels contribuent également à atténuer toute vulnérabilité potentielle.

 Protection des données 

Pour la plupart, les entreprises du secteur des sciences de la vie gèrent de grandes quantités de données médicales dont la récupération ou l’altération par des cybercriminels pourrait avoir de graves conséquences. Les données doivent être classées par catégorie de risque et les informations médicales protégées (PHI pour Protected Health Information) bénéficier du niveau de protection le plus strict avec un accès limité aux seuls collaborateurs qui en ont besoin. En appliquant certaines mesures de protection des données, comme le cryptage des bases de données, des ordinateurs et des systèmes connectés à Internet, il est plus difficile pour une personne malveillante d'accéder à ces informations. Il faut également veiller à la conformité avec les réglementations locales en matière de données, notamment le RGPD. Les informations très sensibles qui sont intrinsèques à la valeur de l’entreprise doivent également faire l’objet de contrôles stricts au sein de son réseau.

Authentification multifactorielle

L’authentification multifactorielle (MFA pour Multi-Factor Authentication) offre un niveau de sécurité supplémentaire en exigeant des collaborateurs qu’ils confirment leur identité via différentes méthodes. Ce dispositif réduit considérablement le risque d’accès non autorisé. Grâce à l’authentification multifactorielle, les entreprises du secteur des sciences de la vie peuvent en outre consigner et suivre chaque acte d’authentification et ainsi identifier les personnes ayant eu accès à leurs données ou à leurs systèmes. Cette fonctionnalité renforce la responsabilisation, aide à identifier toute corruption ou violation de données éventuelle et permet de prendre des mesures immédiates en cas d'activités suspectes ou hostiles.

Protections physiques

La sécurisation physique des locaux peut contribuer à protéger les données de valeur et la propriété intellectuelle des entreprises du secteur des sciences de la vie. Ces sociétés ont la possibilité de procéder à un contrôle approfondi du personnel, en particulier des personnes ayant accès à des données sensibles. Si le stockage des données est assuré sur le site ou si des infrastructures informatiques ou de technologies opérationnelles critiques y sont hébergées, il peut être utile d’investir dans un onduleur ou un générateur de secours. Un stockage sécurisé des actifs de valeur peut aussi être envisagé, accompagné de systèmes de contrôle d’accès appropriés pour le personnel et les visiteurs.

Préparation d’une procédure de réponse à incident

Les entreprises du secteur des sciences de la vie peuvent se préparer efficacement aux cyberincidents en mettant en œuvre un plan de reprise après sinistre (DRP pour Disaster Recovery Plan) complet qui décrit étape par étape les procédures d’intervention et de reprise d’activité en cas de cyberattaques. Il s’agit entre autres d’élaborer des protocoles clairs relatifs au signalement des incidents, notamment à l’autorité de protection des données compétente, et relatifs à la gestion des incidents et aux stratégies de communication. Il est également recommandé de tester régulièrement le plan de reprise après sinistre en place et de dispenser aux collaborateurs une formation continue sur le plan d’intervention. La mise en œuvre d’un plan de continuité des activités (PCA) peut également contribuer à garantir la poursuite, autant que possible, des activités de l’entreprise à la suite d’un incident.

Synthèse

Les entreprises du secteur des sciences de la vie collectent et gèrent des données médicales protégées, leurs propres données et leur propriété intellectuelle. Il leur est donc recommandé de se protéger contre les failles de cybersécurité. Toutes les mesures proposées ici sont conformes aux principes de confidentialité, d'intégrité et de disponibilité. Il est également recommandé aux entreprises du secteur des sciences de la vie de se familiariser avec la norme ISO 27001 sur la cybersécurité et d’échanger sur ce sujet avec les ingénieurs spécialisés dans la prévention des risques de leur partenaire d’assurance. 

Spécialisé dans les sciences de la vie depuis plus de 25 ans, Chubb propose des produits dédiés, soutenus par une équipe d’experts du secteur – souscripteurs, ingénieurs en risques et gestionnaires de sinistres. De la responsabilité civile produit aux essais cliniques en passant par la responsabilité civile professionnelle, sans oublier l’assurance de dommages aux biens, les risques cyber et le transport, nous sommes là pour vous. Nous apportons notre soutien de la phase initiale de R&D aux projets multinationaux complexes. Contactez-nous dès aujourd’hui pour savoir comment notre expertise et notre expérience dans les sciences de la vie peuvent vous être utiles.