L'étendue de la cybersécurité pharmaceutique en 2024

Les entreprises pharmaceutiques sont une cible de choix pour les cyberattaques. De la longueur des chaînes d'approvisionnement à la valeur de la propriété intellectuelle et des données personnelles disponibles, les cybercriminels ont de nombreuses vulnérabilités à exploiter.

Dans ce guide de cybersécurité pharmaceutique, vous découvrirez pourquoi les entreprises pharmaceutiques sont si vulnérables aux cybermenaces, la principales tendances et études de cas cette année - et ce que les RSSI peuvent faire pour protéger les organisations pharmaceutiques contre les cyberattaques.

1 : Pourquoi l'industrie pharmaceutique est-elle une cible ?

Si les pirates veulent exploiter l'écosystème numérique de quelqu'un, l'industrie pharmaceutique et des soins de santé est une perspective particulièrement attrayante. Les entreprises pharmaceutiques sont particulièrement attrayantes pour les cybercriminels pour sept raisons principales.

1. Elles possèdent une propriété intellectuelle (PI) de grande valeur

La recherche et le développement (R&D) sont une priorité absolue pour les entreprises pharmaceutiques. Si elles veulent garder une longueur d'avance sur leurs concurrents, elles doivent constamment innover en matière de nouveaux médicaments, traitements et thérapies.

Cependant, la propriété intellectuelle de leurs essais cliniques, de leur fabrication et de leurs brevets est particulièrement précieuse. Les cybercriminels peuvent cibler ces actifs pour les vendre sur le marché noir, les transmettre à un concurrent ou les utiliser à leur propre avantage.

2. Ils possèdent des données extrêmement sensibles

Les entreprises pharmaceutiques ont accès à une grande quantité de données sensibles, notamment :

• Information des patients
• Résultats des essais cliniques
• Recherche exclusive
• Dépôts réglementaires

Ces données précieuses sont soumises à des réglementations strictes, ce qui les rend encore plus attrayantes pour les personnes qui souhaitent les exploiter. Par exemple, les cybercriminels pourraient utiliser ces données à des fins de fraude, de chantage ou d'usurpation d'identité.

3. Leurs chaînes d'approvisionnement sont vulnérables

Les entreprises pharmaceutiques travaillent via un réseau complexe de partenaires, de vendeurs, de prestataires et de fournisseurs. Avec autant de parties impliquées, il existe d'innombrables menaces et opportunités internes dont les cybercriminels peuvent tirer parti, par exemple en accédant aux bases de données ou en compromettant l'intégrité des produits. Malheureusement, il suffit qu'un seul acteur compromette la sécurité de ses données pour que l'ensemble de la chaîne d'approvisionnement soit perturbé.

4. Leur conformité réglementaire peut être exploitée

Si les entreprises pharmaceutiques ne respectent pas les exigences réglementaires, elles s'exposent à de graves répercussions juridiques, à des amendes et à une atteinte à leur réputation.

Ils sont soumis à de nombreuses lois, notamment :

• Lois sur la confidentialité des données : Comme le règlement général sur la protection des données (RGPD) et la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA).
• Réglementation de l'industrie : Y compris la Food and Drug Administration (FDA), pour ceux qui sont basés aux États-Unis.

Les cybercriminels peuvent exploiter les faiblesses des entreprises en matière de conformité réglementaire. Ils peuvent également perturber les opérations pour provoquer délibérément des violations.

5. Les conséquences peuvent être mondiales

L'industrie pharmaceutique n'est pas un simple réseau régional ; elle opère à l'échelle mondiale. Cela signifie que les cybercriminels peuvent avoir un impact significatif sur plusieurs pays et régions par le biais d'une attaque. En ce qui concerne l'ampleur des attaques, le monde pharmaceutique présente un potentiel énorme.

6. Elles n'ont pas toujours une stratégie solide en matière de cybersécurité

Bien que de plus en plus d'entreprises pharmaceutiques commencent à comprendre les risques cybernétiques, leurs solutions de cybersécurité ne sont pas toujours aussi développées que dans d'autres secteurs.

En effet :

• Leurs budgets sont parfois plus limités
• Ils n'investissent pas toujours les mêmes ressources
• Elles ne sont pas toujours proactives pour atténuer les problèmes de cybersécurité

Résultat ? Des mesures de cybersécurité limitées qui les rendent plus vulnérables aux attaques de phishing, de ransomware et autres cyberattaques malveillantes.

7. Les gains financiers peuvent être énormes pour les cybercriminels

Avec autant de données sensibles, les cybercriminels ont de nombreuses occasions d'exploiter les entreprises pharmaceutiques. Par exemple, ils peuvent utiliser des attaques par ransomware pour crypter des données précieuses et demander une "rançon" pour les récupérer. Ils peuvent aussi se livrer à des délits d'initiés en accédant à des informations secrètes sur les autorisations réglementaires ou la recherche sur les traitements.

En résumé : Des données précieuses aux pressions réglementaires, en passant par la complexité de la chaîne d'approvisionnement, les entreprises pharmaceutiques sont des cibles de choix pour les cybercriminels.

2. Les 8 principales menaces de cybersécurité dans l'industrie pharmaceutique

Maintenant que les cybercriminels ont trouvé un motif pour exploiter l'industrie pharmaceutique, examinons quelques-unes des menaces les plus courantes auxquelles les entreprises pharmaceutiques sont confrontées.

1. Attaques par ransomware : Des données pharmaceutiques sensibles peuvent être volées et cryptées jusqu'à ce que la victime paie une "rançon" pour obtenir les clés de décryptage.
2. Les attaques par hameçonnage et ingénierie sociale : Des messages, des courriels et des sites web frauduleux peuvent inciter les fournisseurs de produits pharmaceutiques à partager des données précieuses ou à télécharger des logiciels malveillants.
3. Violations de données : Des données sensibles peuvent être découvertes par des pirates informatiques, ce qui entraîne des pénalités pour non-respect de la réglementation, une perte de confiance et des conséquences juridiques.
4. Attaques de la chaîne d'approvisionnement : Les fournisseurs tiers peuvent compromettre les entreprises pharmaceutiques lorsqu'ils sont attaqués, par exemple en introduisant des logiciels malveillants dans les bases de données pharmaceutiques. Toute perturbation des opérations entraînera également des retards de production, des pénuries de produits et des pertes de revenus.
5. Le vol de la propriété intellectuelle : Qu'il s'agisse de la formulation des médicaments, des données d'essais cliniques ou de la fabrication, les cybercriminels peuvent voler ces informations pour les vendre à leurs concurrents ou au marché noir.
6. Menaces d'initiés : Les partenaires commerciaux, les employés et les sous-traitants peuvent compromettre les opérations de sécurité pharmaceutique, que ce soit intentionnellement ou par simple négligence.
7. Le cyber-espionnage : Les entreprises et les États peuvent espionner les données pharmaceutiques. Il peut s'agir d'une atteinte à la sécurité nationale ou simplement d'un avantage concurrentiel.
8. Nouvelles technologies : Avec les technologies émergentes telles que les appareils de l'internet des objets (IoT), les outils médicaux connectés, l'informatique en nuage et bien d'autres encore, les cybercriminels disposent d'une multitude de nouveaux points d'accès à exploiter.

Voyons maintenant pourquoi il est si important de mettre en œuvre des mesures de cybersécurité dans l'industrie pharmaceutique.

3. Pourquoi la cybersécurité est-elle importante pour l'industrie pharmaceutique ?

Avec sa forte connectivité, ses données sensibles et sa précieuse propriété intellectuelle, l'industrie pharmaceutique doit faire des solutions de cybersécurité une priorité.

En voici plusieurs raisons.

• Les données précieuses peuvent être protégées : Cela permet de protéger les informations relatives aux patients et de garder secrètes les données relatives aux essais cliniques et à la propriété intellectuelle.
• La conformité réglementaire est renforcée : Une gestion rigoureuse des cyberrisques renforcera la protection de la vie privée des patients et la sécurité des données
• Les cyberattaques sont bloquées avant qu'elles ne se produisent : Avec une surface d'attaque réduite, les entreprises pharmaceutiques ne seront plus une cible facile pour les cybercriminels.
• Les activités de l'entreprise sont sauvegardées : En mettant en place un dispositif de sécurité adéquat, les entreprises pharmaceutiques peuvent minimiser les temps d'arrêt et maintenir leurs activités.

Avant de voir comment les RSSI peuvent mettre en œuvre des solutions de cybersécurité, examinons quelques études de cas courantes de cyberattaques dans le secteur pharmaceutique.

4. Les 4 plus grandes violations de données dans l'industrie pharmaceutique à ce jour

En ce qui concerne les violations de données dans l'industrie pharmaceutique, cinq études de cas se distinguent vraiment.

1. Merck & Co.

En 2017, une énorme attaque de ransomware a perturbé les opérations de Merck & Co. à l'échelle mondiale, mettant hors service environ 30 000 ordinateurs. L'entreprise a donc dû interrompre la production de médicaments, ce qui a gravement affecté son chiffre d'affaires. On pense que le logiciel malveillant a causé des dommages s'élevant à $870 millions.

2. Sun Pharmaceutical Industries

Sun Pharmaceutical Industries est le quatrième fabricant de médicaments génériquesEn 2023, elle a subi une attaque de ransomware qui a affecté certains de ses systèmes de fichiers. Bien que nous ne connaissions pas le coût exact de l'attaque, on pense qu'elle a eu un impact sur ses revenus.

3. PharMerica Corporation

Comme indiqué dans le document Rapport annuel 2024 de CybelAngelEn mars 2023, la société PharMerica a été victime d'une attaque par ransomware qui a exposé les données personnelles de près de 6 millions de personnes. Les données volées, y compris les noms, les adresses et les numéros de sécurité sociale, ont été publiées plus tard dans le mois. PharMerica Corporation a fait l'objet de recours collectifs à la suite de cette attaque.

4. Cencora

Le géant pharmaceutique Cencora a récemment annoncé, dans un document déposé auprès de la Securities and Exchange Commission (SEC), qu'une cyberattaque avait dérobé des données personnelles dans ses systèmes en ligne. Nous ne savons pas s'il s'agit d'informations sur les employés ou les clients. Bien qu'il soit trop tôt pour en connaître l'impact financier, avec un chiffre d'affaires annuel de $230 milliards d'euros, il est certain que l'entreprise est une cible attrayante pour les cybercriminels.

5. Que peuvent faire les RSSI de l'industrie pharmaceutique ?

Les responsables de la sécurité de l'information (CISO) sont chargés de mettre en œuvre la cybersécurité dans l'industrie pharmaceutique.

Voici quelques mesures clés qu'ils peuvent prendre pour contrer les cybermenaces.

1. Élaborer une stratégie globale de cybersécurité

Elle doit être adaptée aux risques et aux défis spécifiques de chaque entreprise pharmaceutique. Elle doit également correspondre aux objectifs commerciaux de l'entreprise, aux meilleures pratiques de l'industrie et aux mesures de conformité réglementaire actuelles.

2. Procéder à une évaluation approfondie des risques

Des évaluations régulières des risques aideront les RSSI à identifier rapidement les menaces de cybersécurité, ainsi que leur impact potentiel. À partir de ces informations, ils peuvent alors préparer des stratégies d'atténuation des risques et des initiatives de sécurité pour contrer la menace.

3. Définir la gouvernance et la politique

Chaque entreprise pharmaceutique devrait mettre en place des politiques de cybersécurité, avec des rôles bien définis et des normes de sécurité établies. De cette manière, tout le monde est impliqué dans les efforts de cybersécurité et comprend ce qui est exigé.

Les RSSI doivent également connaître les réglementations pertinentes en matière de cybersécurité, telles que HIPAA, GDPR et les directives de cybersécurité de la FDA, et prendre des mesures pour rester en conformité. Cela permettra d'éviter toute pénalité ultérieure.

4. Investir dans les technologies de cybersécurité

Les contrôles de sécurité, notamment les pare-feu, les systèmes de détection d'intrusion, le cryptage, les logiciels antivirus et l'authentification multifactorielle, aideront les RSSI à gérer facilement leurs efforts en matière de cybersécurité, et un budget adéquat devrait leur être alloué à cet effet.

Par exemple, ils pourraient investir dans un outil tel que CybelAngelqui offre :

• Services de prévention des violations de données
• Protection des domaines
• Surveillance du web sombre
• Découverte et suivi des actifs
• Prévention de la prise de contrôle des comptes

Avec de telles mesures de cybersécurité en place, les RSSI peuvent avoir l'esprit tranquille et être assurés que leurs systèmes en ligne sont sécurisés.

5. Prendre le temps d'organiser des sessions de formation et de sensibilisation

La cybersécurité n'est pas seulement la responsabilité des RSSI ; elle concerne toutes les personnes en relation avec l'entreprise pharmaceutique, des employés aux vendeurs et fournisseurs tiers. Tout le monde doit être sur la même longueur d'onde et être en mesure de prouver qu'il respecte les politiques de cybersécurité en vigueur.

Les RSSI doivent également promouvoir une culture de la cybersécurité. Il faut encourager les gens à communiquer ouvertement et à signaler immédiatement tout incident ou problème de sécurité.

6. Disposer d'un plan d'intervention en cas d'incident

Les RSSI doivent être prêts avec un plan d'intervention en cas d'incidentLes cyber-menaces sont de plus en plus nombreuses, notamment les violations de données, les attaques de ransomware et autres cyber-menaces.

Il y a six étapes à suivre :

1. Préparation : Disposer d'actifs et de ressources en place, prêts à faire face à tout incident susceptible de se produire.
2. Détection : Être capable d'identifier toute cyberattaque.
3. Analyse : Avoir la capacité de comprendre la gravité de l'incident.
4. Confinement : Réduire les conséquences de l'incident.
5. L'éradication : Résoudre la cybermenace le plus rapidement possible.
6. Récupération : Remettre tous les systèmes en état de marche.

Après avoir élaboré leur plan de réponse aux incidents, les RSSI doivent effectuer régulièrement des exercices et des simulations pour en tester l'efficacité.

7. Suivre en permanence la situation en matière de cybersécurité

Les RSSI doivent être en mesure de détecter les menaces de cybersécurité et d'y répondre en temps réel. Les flux de renseignements sur les menaces, tels que ceux proposés par CybelAngel, ainsi que les partenariats de partage d'informations, peuvent aider les RSSI à garder une longueur d'avance.

8. Collaborer avec d'autres acteurs pharmaceutiques

Les RSSI ne doivent pas travailler seuls. Ils doivent toujours privilégier la communication et le travail en réseau pour découvrir les meilleures pratiques, les informations et les enseignements les plus récents.

Ils doivent rester en contact avec :

• Équipes interfonctionnelles
• Direction générale
• Pairs de l'industrie
• Agences gouvernementales
• Communautés de la cybersécurité

En mettant en œuvre ces initiatives, les RSSI peuvent renforcer leurs défenses en matière de cybersécurité et protéger les entreprises pharmaceutiques à l'avenir.

Conclusion

Les entreprises pharmaceutiques sont une cible importante et précieuse pour les cybercriminels, comme en témoignent les récentes attaques contre des marques telles que Pfizer et PharMerica Corporation.

Cependant, avec les bonnes solutions de cybersécurité en place, les RSSI peuvent riposter et protéger l'industrie pharmaceutique, avec l'aide d'outils tels que CybelAngel.

Pour en savoir plus sur l'ampleur de la cybersécurité en 2024, consultez notre rapport annuel et découvrez ce que vous devriez privilégier cette année.