L’industrie pharmaceutique : une cible privilégiée pour les cybercriminels
La Supply Chain : le talon d’Achille des systèmes d’informations
Selon le rapport “Etat des ransomwares 2024”, les cyberattaques contre les entreprises pharmaceutiques ont augmenté de 80% entre 2020 et 2021. l’industrie pharmaceutique est devenue le terrain de chasse privilégié des cybercriminels et la supply chain constitue souvent la porte d’entrée de leurs attaques, et ce pour au moins deux raison :
Digitalisation croissante de la supply chain :
Avec l’intégration de l’IoT, de la blockchain et de l’IA, la supply chain est de plus en plus interconnectée. Chaque interface entre le matériel et logiciel crée des failles potentielles de sécurité, ouvrant ainsi la porte à des attaques toujours plus sophistiquées. Ces dernières peuvent paralyser toute l’activité et donner lieu à des demandes de rançon exorbitantes.
L’asymétrie d’information sur le degré de cybersécurité des différents partenaires :
La complexité de la supply chain pharmaceutique, du fabricant de principes actifs au sous-traitant, des distributeurs aux grossistes, du logisticien au transporteur et l’internationalisation des chaînes de valeur a accru l’exposition au risque de cyberattaques. En l’absence de norme, il est impossible pour une entreprise de connaître le degré de protection de ses partenaires et de se prémunir contre un effet domino.
Les cyberattaques ciblant la supply chain soulignent l’interdépendance des acteurs de l’industrie et montre comment un risque individuel peut devenir un risque collectif majeur.
Les cybermenaces dans l’industrie pharmaceutique
Les attaques contre l’industrie pharmaceutique sont menées par divers profils de cybercriminels, allant des hacktivistes aux États-nations. Si le gain financier, via le vol de données sensibles (brevets, résultats d’essais cliniques, dossiers médicaux), est souvent le principal mobile, il existe d’autres motivations comme la déstabilisation ou l’atteinte à la réputation d’une entreprise.
Quelques exemples d’attaques notables :
- La Fraude au président vise à usurper l’identité d’un salarié du comité de direction afin d’effectuer une demande de virement bancaire. En 2019, des cybercriminels ont ainsi pu extorquer près de 40 millions de dollars au groupe pharmaceutique Roche.
- Les ransomwares : En 2019, Teva, le géant pharmaceutique israélien a vu ses systèmes informatiques paralysés pendant plusieurs jours entraînant des dizaines de millions de dollars en pertes de revenus et en frais de récupération.
- Le vol de données : En 2021, Sandoz, la filiale de Novartis, a subi une fuite de données qui a exposé les informations personnelles de plus de 2 millions de patients.
- Les attaques par phishing : En 2022, une attaque de ce type a permis à des cybercriminels de viser les fonds bancaires de McKesson, l’un des plus grands distributeurs de produits pharmaceutiques au monde
Pour l’industrie pharmaceutique, le coût moyen d’une attaque est estimé à 6,2 millions de dollars, et ce chiffre est en constante augmentation. Il faut également garder à l’esprit que, pour des raisons de réputation, le nombre de cyberattaques est probablement largement sous-évalué.
NIS2 : Renforcer la cybersécurité dans l’industrie pharmaceutique
Face à l’augmentation des cybermenaces, l’Union Européenne a adopté la directive NIS2 pour renforcer la cybersécurité, notamment dans les secteurs critiques comme l’industrie pharmaceutique.
Cette directive marque un changement de paradigme pour les dirigeants d’entreprises, qui doivent désormais s’impliquer activement dans la gestion des risques cybernétiques, sous peine de lourdes sanctions.
La directive comporte 3 obligations majeures :
- Anticiper les risques : Les entreprises doivent mettre en place des mesures de sécurité minimales, telles que des politiques dédiées, des procédures de gestion des incidents, et des audits réguliers.
- Sécuriser la chaîne d’approvisionnement : Il est essentiel de s’assurer que les fournisseurs respectent également des normes de cybersécurité adéquates.
- Notifier rapidement les incidents : Les cyberattaques significatives doivent être signalées aux autorités compétentes dans un délai de 24 heures.
Le non-respect de la directive NIS2 peut entraîner des sanctions sévères, allant jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel. En France, L’ANSSI (Agence nationale de la sécurité des systèmes d’information) supervise la conformité des entreprises et coordonne les réponses aux cyberattaques.
Conclusion :
L’exposition croissante de l’industrie pharmaceutique aux cyberattaques souligne l’importance de renforcer la sécurité des systèmes d’information tout au long de la supply chain. La directive NIS2 est une réponse essentielle aux cybermenaces, mais face à la sophistication croissante des attaques, la mise en conformité ne suffit pas. Une transformation radicale dans la gestion des menaces est nécessaire, en favorisant une collaboration étroite entre les fonctions Supply et SI pour se protéger contre un impact financier majeur.
Vincent QUILLET – Consultant chez EGGERS Conseil
Relevez le défi de la Supply Chain cyber-résiliente avec EGGERS
Chez EGGERS, nous sommes convaincus que la cybersécurité est l’affaire de tous dans la Supply Chain. C’est pourquoi nous vous proposons une approche globale et sur-mesure, pour sécuriser votre écosystème de bout en bout. De l’audit des risques à la mise en conformité NIS2, en passant par le Security by Design et la conduite du changement, nos experts vous accompagnent à chaque étape. Avec un objectif : bâtir avec vous une Supply Chain cyber-résiliente, où la sécurité est un moteur de performance durable. Alors, prêts à faire de la cybersécurité l’ADN de votre Supply Chain ? Parlez-en à nos experts.
