Cybersécurité : Comment faire face aux nouvelles menaces visant les laboratoires pharmaceutiques

Il y a aura un avant et un après Petya. Le 27 juin dernier, le fameux ransomware commençait à faire ses ravages aux Etats-Unis après avoir sévi en Ukraine. La première entreprise américaine à reconnaître être touchée sera le géant pharmaceutique Merck. Peu de temps après sa filiale britannique MSD (Merck Sharp & Dohme) verra ses ordinateurs hors de service.

Cette cyber-attaque d’une ampleur sans précédent a eu au moins pour mérite de sensibiliser l’industrie pharmaceutique à son exposition aux risques. Selon un expert du marché, le budget sécurité serait ainsi passé en quelques mois de 3 à 15 % du budget IT dans certaines entreprises.

Pourtant, avec Petya, les pirates qui exigeaient une rançon pour déverrouiller la base de données, que le malware avait préalablement chiffrée, ne visaient pas spécifiquement la profession. Merck faisait partie d’une longue liste de victimes de toute taille et de tout secteur d’activité.

Des cybercriminels mus par l’appât du gain

Pour Pierre-Yves Colin, DSI de Vetoquinol et président du Cedhys, association indépendante des DSI francophones du secteur des sciences de la vie, les menaces qui pèsent sur les laboratoires portent moins sur l’altération de l’activité, avec des attaques de type déni de service (DDoS), que sur l’intégrité des données sensibles. « La violation d’études cliniques ou des résultats faussés peut remettre en cause la mise sur le marché d’un médicament. Une fois sur le marché, la traçabilité du médicament est un autre enjeu d’importance en termes de pharmacovigilance. »

A ses yeux, les usines de fabrication constituent également des zones particulièrement sensibles. « Un virus ou un malware susceptible d’entraîner une modification de la formule d’un médicament pourrait avoir des conséquences désastreuses, le pire étant de s’en rendre compte plusieurs semaines ou mois après”.

Un avis partagé par Cyrille Barthelemy, PDG d’Intrinsec. Bâtis sur des architectures de type Scada (Système d’acquisition et de contrôle de données), « les systèmes d’information industriels ne sont pas nativement conçus pour la cybersécurité. Par ailleurs, avec la transformation numérique en cours, on crée des passerelles entre le SI industriel et le SI de gestion de l’entreprise. Ce qui accroît la surface aux risques. »

Selon le dernier rapport d’activité de FireEye, spécialiste américain de la cybersécurité, le secteur médical au sens large arrive en quatrième position avec 9 % du nombre total d’interventions après la finance (20 %), les services (16 %) et les médias (10 %). Directeur technique Europe du Sud de FireEye, David Grout cerne trois grandes typologies de risques. Tout d’abord celle relevant de cybercriminalité. « Des groupes motivés par l’appât du gain vont utiliser un ransomware pour extorquer des fonds ou des techniques phishing pour monétiser les données volées ». Le groupe Fin7 qui a fait parler de lui dès 2016 en s’attaquant aux casinos et à l’industrie minière a depuis jeté son dévolu sur le secteur de la santé.

Au-delà des données de R&D, les données des clients des laboratoires se marchandent très bien. D’après Thomas Roccia, expert cybersécurité au sein du McAfee Labs, pour ce secteur, « un lot de plusieurs milliers de données personnelles peut atteindre jusqu’à 100 000 dollars sur le marché noir. »

175 jours avant de découvrir une fuite de données

Deuxième menace : le cyber-espionnage. A la différence des cybercriminels, les cyber-espions sont généralement « sponsorisés » par un Etat et ne sont pas mus par des gains rapides. Leur objectif est de donner un avantage économique à l’industrie nationale en pillant le patrimoine informationnel d’entreprises étrangères. En connaissant tout d’une nouvelle molécule, un pays émergent pourra la produire à bas coût ou tout du moins déposer le brevet. Pour les laboratoires touchés, ce type de vol de la propriété intellectuelle peut anéantir des centaines de millions d’euros d’investissements en R&D.

Pour arriver à leurs fins, les cyber-espions comme les groupes chinois APT3 et APT10 recourent – d’où leur nom – à des attaques concertées ou APT (advanced persistent threat) mêlant des techniques d’ingénierie sociale et l’exploitation des vulnérabilités du SI. « Ils s’introduisent dans le système d’information et y restent des mois voire des années pour exfiltrer les informations sensibles au fil de l’eau », poursuit David Grout.

Le rapport de FireEye rappelle qu’il s’écoule en moyenne 175 jours entre le début de l’intrusion et le moment où l’entreprise s’en rend compte. « C’est comme si vous laissiez tout ce temps un cambrioleur chez vous », illustre l’expert. Pour mémoire, le règlement européen sur les protections des données personnelles (RGPD), qui entrera en application le 25 mai, obligera les entreprises européennes à notifier dans les 72 heures au régulateur (la Cnil en France) toute violation de leurs données !

Dernier type d’acteur : les organisations d’activistes qui mènent des opérations de déni de service ou d’effacement de site pour dénoncer les pratiques des laboratoires. En avril 2017, Anonymous a ainsi lancé une campagne, baptisée #Op Pharma, contre l’industrie pharmaceutique dont on retrouve la vidéo. Ce type d’attaque présente un risque limité sur l’activité puisqu’elle cherche surtout à altérer l’image et la réputation de l’entreprise visée. En revanche, n’importe quel internaute en herbe peut se transformer en « hacktiviste », en se procurant un kit prêt à l’emploi sur le dark web.

De l’antivirus au machine learning

Pour se prémunir de ce type de menaces, la réponse est d’abord technique. Antivirus, anti-malware, pare-feu, authentification forte à deux ou trois facteurs, traçabilité des données sensibles (data loss prevention, DLP), protection des données dans le cloud (cloud access security broker, CASB)… les laboratoires ont multiplié au fil des années les strates de sécurisation.

Ce que Cyrille Barthelemy appelle la défense en profondeur. « On empile les dispositifs qui doivent se succéder. Si les premiers cèdent, les autres prennent le relais. » A ces parades traditionnelles, s’ajoutent, en amont, le chiffrement des données sensibles et, en aval, le monitoring de l’activité via un SOC (Security operation center). Les PME qui n’ont pas le budget et les ressources internes peuvent externaliser cette supervision à des prestataires comme Intrinsec. C’est le choix notamment par Pierre Fabre, en s’appuyant sur IMS Networks (voir notre étude de cas).

Comme le constate Pierre-Yves Colin, certains grands laboratoires vont, eux, « aller plus loin en bloquant l’utilisation des ports USB sur les postes de travail ou en filtrant les échanges. L’objectif est d’interdire le téléchargement de certaines applications ou le recours à des services cloud comme les espaces de stockage en ligne type DropBox. Ces services sont activés ou non en fonction du profil de l’utilisateur, de son appartenance à un département. »

La principale porte d’entrée des attaques étant le mail, David Grout conseille, pour sa part, de mettre en place un système de sandboxing (bac à sable) qui va émuler les pièces jointes et vérifier les liens afin de contrer les attaques de phishing ou de fraude au président. Enfin, les nouvelles technologies sont également mises à contribution comme le machine learning. Ce sous-domaine de l’intelligence artificielle apprend continuellement des menaces pour s’en protéger dynamiquement.

Des certifications faute d’agrément

Confrontés tous les jours à des incidents de type virus ou tentative d’intrusion, les laboratoires n’ont d’autre choix que de se reposer sur l’expertise des prestataires spécialisés qu’il s’agisse des éditeurs de firewall, des constructeurs d’équipements réseaux ou des consultants externes pour les audits et les tests d’intrusion.Pour Thomas Roccia, ce type d’audit doit se tenir au moins une fois par an pour “jauger la résilience du SI”. Il faut compter en moyenne 1 000 euros HT par jour pour ce type de prestation.

Bien que l’industrie pharmaceutique soit fortement réglementée, il n’existe pas d’agrément spécifique pour les prestataires spécialisés dans la cybersécurité. Seules les entreprises relevant du statut d’opérateur d’importance vitale (OIV) doivent faire appel à des sous-traitants agréés par l’Agence nationale de la sécurité des systèmes d’information (Anssi). Les laboratoires peuvent néanmoins imposer une certification de type ISO 27001 en appel d’offres.

Les grands laboratoires se sont organisés en interne avec un directeur de la sûreté sécurité qui porte la dimension gouvernance et la politique de sécurité, un ou plusieurs RSSI pour le volet opérationnel et des correspondants locaux dans les services et sur les sites distants. Le RGPD introduit aussi la nomination d’un data protection officer (DPO), garant de la protection des données personnelles.

L’homme, le maillon faible

Multiplier les dispositifs techniques et organisationnels ne sert toutefois à rien si on ne s’intéresse pas à l’homme, premier facteur de risque. Largement pratiquées par les pirates, les techniques dites d’ingénierie sociale exploitent les « failles » humaines pour leur soutirer les informations-clés. Certains collaborateurs leur facilitent la tâche en choisissant des mots de passe de type 1234 quand ils ne les écrivent pas sur un post-it posé à côté du poste de travail.

Pour Pierre-Yves Colin, il suffit de faire un test en interne pour mesurer l’ampleur du phénomène. « On lance un faux mail infecté provenant d’un logisticien bien connu, type DHL, appelant à cliquer sur un lien. Cela permet de voir quel pourcentage de salariés va cliquer alors qu’ils n’attendent aucun pli de ce transporteur. Un utilisateur, devant l’absence d’ouverture d’un document quelconque, a cliqué 15 fois sur le lien qui, en l’occurrence, ne renvoyait sur rien. »

La prévention passe par la formation et l’information des collaborateurs avec des piqûres de rappel tous les six mois reprenant les règles fondamentales de sécurité. Comment composer un mot de passe et à quelle fréquence le renouveler ou pourquoi il faut bannir les clés USB. Noyé dans le flot des informations internes, ce type de communication de masse atteint toutefois rapidement ses limites.

Cyrille Barthelemy conseille d’opter pour des démarches plus engageantes à base de jeux, de mises en situation ou de contenus ultra personnalisés. Comme le fait le groupe pharmaceutique Théa (lire encadré). Arkeva et Conscio Technologies proposent ce type de modules en e-learning. Notre expert conseille également de sensibiliser certaines populations à risques comme les collaborateurs nomades ou les dirigeants du comité de direction, particulièrement exposés à l’intelligence économique.

Avec ces derniers, il faut redoubler de diplomatie pour leur rappeler des règles de sécurité évidentes comme ne pas laisser son ordinateur portable sur la banquette du TGV quand on part déjeuner. « C’est toute la difficulté de la DSI de poser un cadre de sécurité qui peut être perçu par certains comme un frein à l’efficacité », conclut Pierre-Yves Colin. Tout l’art d’allier flexibilité et sécurité.