Protection des systèmes IT : une priorité pour le secteur de la santé

Politique de sécuritéSécurité

En cybersécurité, l’industrie pharmaceutique compte parmi les secteurs les plus difficiles à protéger. Une grande partie des risques encourus émanent de l’intérieur des entreprises.

Qu’il s’agisse des pratiques de plus en plus collaboratives lors des développements des produits, ou du caractère sensible d’une grande partie des données gérées, les possibilités pour les pirates informatiques de dérober des données semblent infinies.

Dans ce contexte, la maîtrise des autorisations par l’intermédiaire d’une gestion des accès administrateurs devient rapidement une priorité pour la chaîne de production. Selon nos recherches, 42 % des professionnels de la sécurité dans le monde admettent que la plus grande cyber-menace à laquelle ils sont confrontés sont les comptes à privilèges non sécurisés – c’est à dire les comptes administrateurs permettant d’accéder à l’ensemble du réseau d’une organisation et d’en prendre le contrôle.

En outre, les entreprises du secteur pharmaceutique y figurent parmi les principales cibles des cybercriminels, en raison de la profusion des propriétés intellectuelles et du caractère sensible des données des patients.

En effet, le flux de données de ce secteur est très important, en particulier lorsqu’il s’agit du développement de médicaments.

Par exemple, selon le laboratoire pharmaceutique Parexel, la quantité de données recueillies et utilisées dans le cadre des soumissions réglementaires pour 400 essais s’élève à environ 160 téraoctets. Sans compter que ces données, structurées et non structurées, sont dispersées en plusieurs endroits.

Non seulement les entreprises doivent surveiller qui accède aux applications sur lesquelles se trouvent les données structurées, mais elles doivent aussi réfléchir à la manière de protéger celles non structurées ; ce qui est d’autant plus difficile, puisque les scientifiques entretiennent des liens très forts avec les domaines de l’éducation et de la collaboration, exposant ainsi les données à davantage de menaces.

Un problème se pose à l’échelle de l’industrie, obligeant les sociétés pharmaceutiques à examiner la nature de leurs actifs d’importance vitale et la façon dont elles les gèrent. Cela implique donc une forte prise de conscience des contraintes techniques et de sécurité, mais aussi une prise en compte du fonctionnement des processus et du business, et ce, en raison du caractère unique de l’industrie pharmaceutique.

Comment les entreprises peuvent-elles garantir le dynamisme et la souplesse nécessaires pour contrôler des quantités de données aussi considérables, tout en sécurisant les données qui existent déjà dans les environnements en place ?

La menace supplémentaire des fusions et acquisitions

Un autre obstacle à la protection des données dans l’industrie pharmaceutique est qu’elle concentre plus d’activités de fusions-acquisitions que tout autre secteur.

Chaque acquisition se traduisant par l’absorption d’un volume important de données par la société mère, les voies d’accès, les droits et les permissions seront tous modifiés au cours du processus. Ces nombreux accords entraînent des changements dans les techniques de collaboration avec les établissements d’enseignement, par exemple. Il convient de garantir l’intégrité et la protection des données depuis le centre même des opérations en définissant un accès à privilèges et en suivant toujours la voie de la plus haute sécurité.

Recours à l’automatisation

Ce foisonnement de données nécessite une approche automatisée, afin de dégager des perspectives significatives et des schémas inhabituels. Ces dernières années ont été le témoin d’une croissance rapide des pratiques de mise au point de médicaments intégrant le machine learning et l’intelligence artificielle (IA).

Les niveaux de financement des start-ups en pleine croissance servent de test décisif pour la confiance du marché, comme en témoigne la société pharmaceutique Benevolent AI, fondée au Royaume-Uni, qui a clôturé l’année dernière un cycle l’évaluant à 2 milliards de dollars.

Alors que la tendance aux nouveaux outils et aux gains d’efficacité en matière d’AI et de machine learning ne cesse de prendre de l’ampleur, il est essentiel de faire le point sur la façon dont ces nouveautés ont une incidence sur la sécurité des données.

À mesure que ces systèmes s’intègrent aux méthodes de production, l’ouverture de nouveaux points d’accès est inévitable. Ce qui devrait donner lieu à une nouvelle catégorie de données critiques pouvant être transférées hors de l’entreprise, soit par erreur, soit par malveillance.

La menace interne

Cependant, en dépit de la protection de ces données très recherchées, une grande partie des risques encourus émanent de l’intérieur même des entreprises.

77 % des attaques perpétrées reposent sur des techniques sans fichier, dans leurs efforts de saisie de données. Par exemple, plutôt que de lancer une attaque de phishing à grande échelle sur un grand nombre de cibles, les entreprises sont plus susceptibles d’être victimes d’attaques qui cherchent à exploiter les vulnérabilités déjà présentes dans leur infrastructure.

Compte tenu du marché qui fait appel à des intervenants tiers à l’instar des organismes de recherche clinique (ORC) qui soutiennent les fabricants de médicaments qui, à leur tour, s’appuient sur des installations de recherches de données, des équipes de gestion de projets et divers services d’essais et de tests, les risques peuvent se révéler plutôt difficiles à atténuer.

En conséquence, les menaces deviennent presque impossibles à éviter et les vols de propriétés intellectuelles perpétrés par des acteurs internes à l’entreprise s’avèrent très difficiles à quantifier.

Perspectives d’avenir en matière de protection des données

La gestion des accès à privilèges est une étape indispensable pour sécuriser les organisations pharmaceutiques à l’ère des « violations massives de données ». La mise en place de mesures de sécurité adaptées à ces accès permettra de réduire toute possibilité pour un pirate informatique de contourner les privilèges et, par conséquent, d’accéder à des renseignements aussi confidentiels que des dossiers de patients.

Les risques sont en effet bien trop importants si une cyber-hygiène stricte n’est pas intégrée au plan de transformation numérique d’une organisation.

Auteur
En savoir plus 
Director of Customer Development EMEA
CyberArk
David Higgins est Director of Customer Development EMEA chez CyberArk
En savoir plus 

Livres blancs A la Une