Sécurité des données pour les entreprises pharmaceutiques : protéger les données de R&D et de propriété intellectuelle

Les données pharmaceutiques font face à une double menace cybernétique. Alors que des acteurs motivés par le profit continuent de cibler les entreprises pharmaceutiques pour obtenir des données monnayables (l'année dernière, Industrial Spy a proposé de vendre des données volées à Novartis sur le darknet pour 500 000 $), des acteurs malveillants soutenus par des États-nations s'attaquent également à l'industrie pharmaceutique pour marquer des points politiques.

Le risque cybernétique qui en résulte peut être si vaste qu'il est difficile à quantifier. À titre d'exemple, Merck mène toujours des batailles judiciaires à plusieurs milliards de dollars après que certaines de ses filiales ont été la cible de cybercriminels soutenus par l'État russe en 2017.

Pour lutter contre cette hydre à deux têtes que représente le paysage des menaces, les entreprises pharmaceutiques doivent se concentrer sur l'origine des risques liés aux données et sur les obstacles à leur atténuation.

Les données qui créent le plus de risques

En règle générale, si des données ont de la valeur pour votre entreprise, elles sont exposées à des risques.

Les acteurs malveillants s'en prendront à toute information pouvant être vendue à vos concurrents sur le dark web, faire l'objet d'une demande de rançon auprès de vous, ou être utilisée pour créer des solutions imitatives dans leurs régions d'origine.

Deux catégories de données sensibles spécifiques aux entreprises pharmaceutiques qui sont couramment ciblées comprennent :

Données de recherche et développement (R&D)

Les données propriétaires sont au cœur du développement de médicaments : elles englobent tout, des informations cliniques recueillies lors des essais sur les patients aux prévisions financières internes et à l’analyse du marché.

Exposées lors d'une violation de données, les données de R&D peuvent entraîner des pertes financières indirectes en raison de la perte d'avantage concurrentiel. De plus, lorsque les données de R&D divulguées contiennent des informations personnelles identifiables (PII), des amendes en vertu de lois telles que la Health Insurance Portability and Accountability Act (HIPAA) et le Règlement Général sur la Protection des Données (RGPD) s'ensuivront.

Le fournisseur français de logiciels de laboratoire, Dedalus Biologie, a récemment été condamné à une amende de 1,5 million d'euros par le RGPD suite à une violation de données ayant exposé les informations personnelles de près de 500 000 personnes provenant de 28 laboratoires. Dans ce cas, bien que les données n'aient pas été divulguées directement par une entreprise pharmaceutique, des prestataires tiers comme Dedalus Biologie servent des organisations des sciences de la vie et peuvent, par inadvertance, exposer des données de R&D lorsqu'elles sont partagées tout au long du cycle de développement des médicaments.

Propriété intellectuelle (PI)

Pour les fabricants de médicaments, la propriété intellectuelle peut inclure des données techniques telles que ELN (cahier de laboratoire électronique), des rapports, des méthodes de fabrication secrètes, des informations personnelles identifiables (PII) comme des données de patients non enregistrées, ainsi que des informations financières telles que les stratégies de tarification.

La propriété intellectuelle est une cible principale pour de nombreux acteurs malveillants. Le coût annuel des fuites de propriété intellectuelle pharmaceutique (et la production de contrefaçons qui en résulte) a été estimé à environ 4% du chiffre d'affaires annuel de l'industrie pharmaceutique.

Le déplacement de l'emplacement des données

Mettre un médicament sur le marché prend en moyenne plus de dix ans, mais l'industrie pharmaceutique adopte le cloud à un rythme record.

• Plus de 83 % des entreprises pharmaceutiques ont utilisé des environnements cloud publics, hybrides ou privés entre 2021 et 2022 
• Le terme « cloud computing » est apparu 65 % plus souvent dans les rapports annuels des entreprises pharmaceutiques

Les charges de travail hébergées dans le cloud ont permis de débloquer d'immenses avantages pour l'ensemble du cycle de développement des médicaments. Par exemple, la puissance de calcul évolutive et quasi illimitée offerte par le cloud a permis à Moderna d'amener son vaccin contre la COVID en phase 1 seulement 42 jours après le premier séquençage du coronavirus.

Ce virage numérique s'est produit bien plus rapidement que ce que la plupart des organisations avaient prévu. Selon des sondages, l'industrie pharmaceutique a environ cinq ans d'avance sur les prévisions de transformation numérique établies avant le Covid.

Si le changement rapide peut apporter d’énormes avantages, il engendre également de nouveaux risques. Les violations de données causent aujourd’hui plus de dégâts que jamais. Selon IBM, le coût moyen d’une violation de données dans le secteur pharmaceutique s’élevait à un peu plus de 5 millions de dollars en 2022, ce qui en fait le troisième secteur le plus coûteux tous domaines confondus.

Les menaces pesant sur les données pharmaceutiques

L'inconvénient d'une migration rapide vers le cloud est que la surface d'attaque d'une entreprise pharmaceutique typique dépasse largement ce que les équipes de sécurité peuvent protéger avec des approches traditionnelles.

Il existe plusieurs menaces auxquelles les entreprises pharmaceutiques sont confrontées aujourd'hui :

Accès excessivement permissif‍

Un accès excessif aux données sensibles est un exemple de vulnérabilités qui peuvent échapper aux équipes de sécurité.  

Un accès excessivement permissif provient souvent de mauvaises configurations, par exemple lorsqu’un actif est déployé dans un environnement cloud sans les contrôles de sécurité appropriés. Il peut s’agir d’un stockage cloud exposé à Internet ou d’un bucket S3 contenant des données non chiffrées. De plus, les acteurs malveillants scannent en permanence les réseaux à la recherche de ces actifs mal configurés.

Dérive des données R&D

Prenez n'importe quelle entreprise pharmaceutique en activité aujourd'hui, et il y a de très fortes chances qu'elle héberge des informations sensibles dans des environnements non autorisés.

Ce qui se passe ici, c'est que les données de R&D devraient être stockées uniquement dans des espaces de stockage de données spécifiques et bien contrôlés, conformément aux politiques internes de gouvernance des données de l'entreprise. Mais, à l'insu de l'équipe de sécurité, ces données se sont retrouvées à l'extérieur, dans un espace de stockage de données exposé au public.

La plupart des expositions passent inaperçues, mais en 2020, Pfizer a subi une importante violation de données lorsque des chercheurs ont découvert un bucket Google Cloud Storage exposé publiquement contenant des informations sur la sécurité des médicaments.

Menaces internes 

Les actifs cloud mal configurés augmentent également le risque créé par les menaces internes.

Bien que les organisations soient désireuses d'utiliser le principe de confiance zéro pour protéger les données, la réalité est presque à l'opposé dans la plupart des cas. Les employés des entreprises pharmaceutiques peuvent avoir accès à des centaines et des milliers de fichiers sensibles. Seule une infime minorité d'initiés représentera jamais un risque calculé en matière de cybersécurité. Pourtant, avec le cloud qui facilite l'accès aux informations sensibles, le rayon d'impact qu'un seul individu malveillant peut créer est énorme.

Mauvais étiquetage des données

Un mauvais étiquetage des médicaments met en danger la vie des patients, mais un mauvais étiquetage de la sensibilité des données met en danger les organisations. En effet, toutes les données de propriété intellectuelle ne se valent pas.

Par exemple, les dernières méthodes de fabrication de médicaments devraient être limitées à un petit groupe interne, tandis que les prix des médicaments devront être partagés plus largement avec les fournisseurs tout au long de la chaîne d'approvisionnement du développement de médicaments. Ces deux types de données sont considérés comme de la propriété intellectuelle. Mais avec les méthodologies traditionnelles de découverte et de classification des données, de nombreuses entreprises pharmaceutiques sont contraintes d'appliquer une étiquette de sensibilité générale pour toutes les données de propriété intellectuelle ou de séparer et classifier manuellement les données de propriété intellectuelle.

Comment Cyera peut aider à protéger les données de R&D et de propriété intellectuelle

Pour renforcer la sécurité de vos données et réduire les risques de violation, vous devez savoir où se trouvent les données sensibles et comment les protéger.

Cyera propose une solution de sécurité des données globale capable de protéger efficacement les données de R&D et de propriété intellectuelle. Cyera découvre, classe et établit dynamiquement un contexte riche sur les données sensibles à travers les environnements IaaS, PaaS et SaaS, sans agents ni connecteurs. Cyera vous permet de corriger les mauvaises configurations et de sécuriser les données sensibles recherchées par les attaquants. Cela inclut l’identification des données sensibles qui ont quitté les environnements approuvés et l’alerte des équipes en cas d’exposition de données sensibles à Internet.

De plus, Cyera simplifie et accélère les audits de conformité en vous permettant d'améliorer de manière proactive la sécurité et la confidentialité de vos données grâce à un inventaire centralisé des données sensibles, afin que votre équipe puisse répondre rapidement et complètement aux audits. La plateforme garantit la conformité avec les politiques qui mettent en évidence les expositions pour la HIPAA, le RGPD et bien d'autres.

Pour en savoir plus sur la façon dont Cyera sécurise la R&D, la propriété intellectuelle et d'autres données sensibles pour les entreprises pharmaceutiques, planifiez une démonstration dès aujourd'hui.