Sécurité des données pour les entreprises pharmaceutiques : protection des données de R&D et de propriété intellectuelle

Les données pharmaceutiques sont confrontées à une double menace cybernétique. Tandis que des acteurs motivés par le profit continuent de cibler les entreprises pharmaceutiques pour obtenir des données monétisables (l'année dernière, Industrial Spy a proposé de vendre des données volées de Novartis Sur le darknet pour 500 000 dollars), des acteurs malveillants parrainés par des États s'en prennent également à l'industrie pharmaceutique pour marquer des points politiques.
Le risque cybernétique qui en résulte peut être si vaste qu'il est difficile à quantifier. À titre d'exemple, Merck… toujours en lice dans des batailles juridiques à plusieurs milliards de dollars après que certaines de ses filiales soient devenues la cible de cybercriminels soutenus par l'État russe en 2017.
Pour lutter contre cette menace à deux têtes, les entreprises pharmaceutiques doivent identifier précisément d'où viennent les risques liés aux données et ce qui fait obstacle à leur atténuation.
Les données qui créent le plus de risques
En règle générale, si des données ont une valeur commerciale pour votre organisation, elles sont menacées.
Les acteurs malveillants s'attaqueront à toute information pouvant être vendue à vos concurrents sur le dark web, vous être restituée contre rançon ou utilisée pour créer des solutions similaires dans leurs régions d'origine.
Deux catégories de données sensibles spécifiques aux entreprises pharmaceutiques qui sont fréquemment ciblées comprennent :
Données de recherche et développement (R&D)
Les données confidentielles sont au cœur du développement des médicaments – qu’il s’agisse des informations cliniques recueillies lors des essais cliniques, des prévisions financières internes ou des analyses de marché.
Exposées suite à une fuite de données, les données de R&D peuvent engendrer des pertes financières indirectes dues à la perte d'avantage concurrentiel. De plus, lorsque les données de R&D divulguées contiennent des informations personnelles identifiables (IPI), des amendes peuvent être infligées en vertu de lois telles que la loi HIPAA (Health Insurance Portability and Accountability Act).HIPAA) et le Règlement général sur la protection des données (RGPD) suivra.
Le fournisseur français de logiciels de laboratoire, Dedalus Biologie, était récemment condamné à une amende de 1,5 million Une amende de plusieurs millions d'euros a été infligée en vertu du RGPD suite à une fuite de données ayant exposé les informations personnelles de près de 500 000 personnes issues de 28 laboratoires. Dans ce cas précis, bien que les données n'aient pas été divulguées directement par une entreprise pharmaceutique, des prestataires tiers comme Dedalus Biologie, qui travaillent avec des organismes des sciences de la vie, peuvent exposer involontairement des données de R&D lors de leur partage tout au long du cycle de vie du développement des médicaments.
Propriété intellectuelle (PI)
Pour les fabricants de médicaments, la propriété intellectuelle peut inclure des données techniques telles que… ELN (cahier de laboratoire électronique), rapports, méthodes de fabrication secrètes, informations personnelles identifiables telles que des informations non enregistrées sur les patients et des données financières comme les stratégies de tarification.
La propriété intellectuelle est une cible privilégiée pour de nombreux acteurs malveillants. Le coût annuel des fuites de propriété intellectuelle dans le secteur pharmaceutique (et de la production de contrefaçons qui en résulte) s'élève à… estimé à environ 4% du chiffre d'affaires annuel de l'industrie pharmaceutique.
L'évolution du lieu de stockage des données
La mise sur le marché d'un médicament prend en moyenne plus d'une décennie, mais l'industrie pharmaceutique se tourne vers le cloud à un rythme record.
- Sur 83% entre 2021 et 2022, combien d'entreprises pharmaceutiques ont utilisé des environnements de cloud public, hybride ou privé ?
- Le terme « informatique en nuage » sont apparus 65 % plus souvent dans les rapports annuels des entreprises pharmaceutiques
L'hébergement des charges de travail dans le cloud a considérablement enrichi le cycle de vie du développement des médicaments. Par exemple, la puissance de calcul évolutive et quasi illimitée offerte par le cloud a permis à Moderna d'atteindre la phase 1 de son vaccin contre la COVID-19, seulement 42 jours après le séquençage du coronavirus.
Cette transformation numérique s'est produite beaucoup plus rapidement que la plupart des organisations ne l'avaient prévu. Selon les sondages, l'industrie pharmaceutique est environ cinq ans En avance sur les projections de transformation numérique d'avant la pandémie.
Si les changements rapides peuvent engendrer des avantages considérables, ils créent également de nouveaux risques. Les violations de données sont plus dévastatrices que jamais. Selon IBM, le coût moyen d'une violation de données dans le secteur pharmaceutique s'élevait à seulement… plus de 5 millions de dollars en 2022 – le troisième secteur le plus coûteux de tous les secteurs.
Les menaces qui pèsent sur les données pharmaceutiques
L'inconvénient d'une migration rapide vers le cloud est que la surface d'attaque d'une entreprise pharmaceutique type dépasse largement ce que les équipes de sécurité peuvent sécuriser avec les approches traditionnelles.
Les entreprises pharmaceutiques sont aujourd'hui confrontées à plusieurs menaces :
Accès trop permissif
L'accès excessif à des données sensibles est un exemple de vulnérabilités qui peuvent échapper aux équipes de sécurité.
Un accès trop permissif résulte souvent d'erreurs de configuration, par exemple lorsqu'une ressource est déployée dans un environnement cloud sans contrôles de sécurité adéquats. Il peut s'agir d'un stockage cloud exposé sur Internet ou d'un compartiment S3 contenant des données non chiffrées. Les acteurs malveillants analysent constamment les réseaux à la recherche de ces ressources mal configurées.
dérive des données de R&D
Prenez n'importe quelle entreprise pharmaceutique en activité aujourd'hui, et les chances qu'elle héberge des informations sensibles dans des environnements non autorisés sont extrêmement élevées.
Ce qui se passe ici, c'est que les données de R&D devraient être stockées exclusivement dans des environnements de stockage spécifiques et rigoureusement contrôlés, conformément aux politiques de gouvernance des données internes de l'entreprise. Or, à l'insu de l'équipe de sécurité, ces données ont fuité vers un système de stockage externe accessible au public.
La plupart des expositions passent inaperçues, mais en 2020, Pfizer a subi une importante fuite de données lorsque des chercheurs ont découvert un compartiment Google Cloud Storage accessible publiquement qui contenait des informations sur la sécurité des médicaments.
Menaces internes
Les ressources cloud mal configurées augmentent également le risque créé par menaces internes.
Bien que les organisations soient désireuses d'appliquer le principe de confiance zéro pour protéger les données, la réalité est souvent tout autre. Les employés de l'industrie pharmaceutique peuvent avoir accès à des centaines, voire des milliers, de fichiers sensibles. Seule une infime minorité d'employés représente un risque de cybersécurité calculé. Cependant, le cloud facilitant l'accès aux informations sensibles, l'impact dévastateur d'une seule personne malveillante est considérable.
étiquetage erroné des données
L’étiquetage erroné des médicaments met en danger la vie des patients, mais l’étiquetage erroné de la confidentialité des données met en danger les organisations. En effet, toutes les données de propriété intellectuelle ne se valent pas.
Par exemple, les méthodes de fabrication de médicaments les plus récentes devraient rester confidentielles et être réservées à un petit groupe interne, tandis que les prix des médicaments devront être communiqués plus largement aux fournisseurs tout au long de la chaîne d'approvisionnement du développement pharmaceutique. Ces deux types de données sont considérés comme de la propriété intellectuelle. Or, avec les méthodologies traditionnelles de découverte et de classification des données, de nombreuses entreprises pharmaceutiques sont contraintes d'appliquer un niveau de confidentialité uniforme à toutes les données de propriété intellectuelle ou de les séparer et de les classer manuellement.
Comment Cyera peut contribuer à la protection des données de R&D et de propriété intellectuelle
Pour renforcer votre sécurité des données et réduire les risques de violations de données, vous devez savoir où se trouvent les données sensibles et comment les protéger.
Cyera propose une solution globale de sécurité des données capable de protéger efficacement les données de R&D et de propriété intellectuelle.Cyera découvre, classe et contextualise de manière dynamique les données sensibles dans les environnements IaaS, PaaS et SaaS, sans agents ni connecteurs. Cyera vous permet de corriger les erreurs de configuration et de sécuriser les données sensibles convoitées par les attaquants. Cela inclut l'identification des données sensibles ayant fuité hors des environnements autorisés et l'alerte des équipes en cas d'exposition de données sensibles sur Internet.
De plus, Cyera simplifie et accélère les audits de conformité en vous permettant d'améliorer proactivement vos contrôles de sécurité et de confidentialité des données grâce à un inventaire centralisé des données sensibles. Votre équipe peut ainsi répondre aux audits rapidement et efficacement. La plateforme garantit la conformité aux politiques qui mettent en évidence les risques liés à la loi HIPAA, au RGPD et à d'autres réglementations.
Pour en savoir plus sur la manière dont Cyera sécurise les données de R&D, de propriété intellectuelle et autres données sensibles pour les entreprises pharmaceutiques, planifier une démonstration aujourd'hui.
.jpg)

