Pharma 4.0 et la cybersécurité
Le Cost of a Data Breach Report 2020 d’IBM et Ponemon Institute a révélé que les entreprises pharmaceutiques et biotechnologiques sont celles qui subissent le plus grand nombre d’attaques informatiques, appelées brèches. Le motif de cet intérêt est sans aucun doute le fait que le secteur pharmaceutique est en croissance constante, un secteur industriel où la recherche et le développement sont les clés du succès, c’est pourquoi il est indispensable d’exceller dans ces domaines. La mise à jour numérique permanente des entreprises et la richesse de données sensibles qu’elles détiennent en font des proies appétissantes pour les hackers. On estime que la valeur des informations médicales est de 20 à 50 fois supérieure aux données d’autre type sur le marché du dark web. Durant la pandémie de Covid, par exemple, les entreprises pharmaceutiques ont connu une forte hausse d’attaques informatiques dérivées surtout de la source d’informations précieuse concernant les vaccins : fin 2020, 7 industries du secteur avaient été prises d’assaut par les hackers.
C’est pourquoi le thème de la « Data Integrity » est devenu de plus en plus actuel au cours des dernières années, la protection des données étant à la base de la totalité du système. Le sigle ALCOA, acronyme introduit au début des années 90 par la FDA, qui définit un ensemble de principes visant à garantir l’intégrité des données, stipule les caractéristiques indispensables des données, à savoir qu’elles doivent être : attribuables, lisibles, contemporaines, originales et précises. Le concept d’ALCOA a donné naissance au cours des années à la notion d’ALCOA+ qui stipule que les données doivent également être complètes, cohérentes, durables et disponibles durant tout leur cycle de vie.
Mais quels sont les systèmes informatiques liés à l’industrie pharmaceutique ?
Il faut tout d’abord faire la distinction entre OT (Operation Technology) et IT (Information Technology). L’IT (technologie de l’information) désigne l’informatique traditionnelle, c’est-à-dire, l’informatique des gestionnaires, des applications de calcul et de traitement de texte ; l’OT (technologie d’exploitation) est l’informatique qui contrôle les processus et les lignes de production industrielle. La Security IT a pour objectif la protection de la donnée, la Security OT vise à protéger l’équipement contrôlé par le système de contrôle/d’automation. Pour simplifier, dans l’IT il est important de protéger les données, la propriété intellectuelle (Intellectual Property), la confidentialité (voir RGPD), la réputation, les données de l’entreprise (Business Data), la vulnérabilité de l’entreprise sur le web. L’OT se concentre sur les systèmes de production, de la chaîne d’approvisionnement, l’OEE (efficacité globale des équipements), la traçabilité, la qualité, la continuité des opérations, etc… Dans ce dernier cas, le risque le plus important n’est pas la perte des données mais les dangers encourus par les personnes sur le site, les dommages aux ressources de l’installation, la perte de qualité, de production, de rendement, etc…
Dans un secteur tel que celui pharmaceutique, il existe une interconnexion étroite entre la protection des données et la protection du système. Si la ligne de production s’arrête (suite à une cyberattaque ou pour tout autre motif), cela provoque bien sûr l’arrêt de la production de médicaments. Cela arrive toutefois également en cas de perte des données, y compris si la production des équipements est régulière, car nous ne serons pas en mesure d’étiqueter ni de tracer les lots, conformément aux réglementations, ni de garantir la qualité attendue de chaque production.
L’informatique dans la dernière version des lignes directrices du guide GAMP 5
Dans les nouvelles lignes directrices du GAMP 5 pour la validation des systèmes informatisés du secteur pharmaceutique, publiées en juillet 2022, les aspects de cybersécurité font l’objet d’un chapitre important. Les tests d’intégrité des copies de sauvegarde, le BCP (Business Continuity Plan), le DR (Disaster Recovery), la perte de l’infrastructure IT, le fournisseur de services, l’accès aux locaux, la connectivité, les attaques de cybersécurité jusqu’à la perte de l’application logicielle ont été introduits.
Foto di cottonbro studio