Jean-Yves Poichotte (Sanofi) : “Depuis le début de l’année, nous avons bloqué 8 millions de cyberattaques”

Plusieurs hôpitaux ont été victimes de cyberattaques ces derniers mois, démontrant que la cybersécurité est devenu un enjeu clé en santé. Qu’en est-il des laboratoires ? Avez-vous subi des cyberattaques en 2021 ?

La menace est générale sur l’écosystème en santé et les laboratoires pharmaceutiques n’y échappent pas. Chez Sanofi, depuis le début de l’année, nous avons bloqué 8 millions d’attaques de manière automatique. C’est 25% de plus par rapport à 2020, qui était déjà en augmentation de 50% par rapport à 2019. Et 8000 attaques ont nécessité l’intervention de nos experts. Les laboratoires sont au cœur de combats sociétaux qui visent à améliorer les conditions de vie des citoyens en soignant mieux, plus vite et de façon plus précise. Dans un contexte de pandémie, avec une course au vaccin ou aux traitements contre le cancer par exemple, les enjeux humains et financiers sont tels que les hackers y voient une opportunité pour se faire payer une rançon.

Quelle est la typologie des attaques et des attaquants ?

La principale motivation des attaquants est d’ordre pécunier. Les gros laboratoires pharmaceutiques sont parfois la cible d’attaques de type espionnage conduites par des Etats ou des groupes affiliés à des nations, comme les groupes APT. Quant aux attaques par ransomware, Sanofi n’en a pas eu. Il faut dire qu’avant de déployer un ransomware, l’attaquant doit déjà entrer chez nous et infiltrer nos réseaux. On peut imaginer qu’on les a bloqués à ce moment-là. En revanche, nous observons très régulièrement des tentatives de pénétration dont nous ignorons la finalité : ransomware, vol, fraude ?

Utilisez-vous des solutions cloud ?

Le cloud est une évolution stratégique au niveau du groupe parce que nous consommons et produisons de plus en plus de données : pour faire de la recherche, pour simuler les molécules et leurs effets, pour améliorer les performances de nos usines… Nous avons besoin d’une très forte puissance de calcul. Nous avons toujours des infrastructures dans nos datacenters, mais nous avons de plus en plus d’infrastructures dans les grands cloud américains et chinois (Microsoft, Amazon, Google, Tencent). L’usage de solutions SaaS est bien plus adapté à la taille et à la variété du groupe. L’objectif est d’avoir à terme 50% de notre infrastructure dans le cloud.

L’objectif est d’avoir à terme 50% de notre infrastructure dans le cloud.

Comment choisissez-vous ce qui va dans le cloud et ce qui reste “on-prem” ?

Nous mettons dans le cloud ce qui nécessite de la puissance de calcul et de l’agilité : simulation R&D, contrôle de production en temps réel, ventes et promotion des médicaments qui diffèrent d’un pays à l’autre… On met donc dans le cloud des services comme le CRM (Customer relationship management), la gestion RH etc.

Quid de vos données stratégiques ?

Vous pensez probablement à des secrets de fabrication. Ce qui est stratégique n’est pas nécessairement cela.  Bien sûr, comme toute entreprise, nous avons des secrets, mais très peu car le processus de développement d’un médicament est public : on doit fréquemment communiquer aux agences réglementaires du médicament la formule, le résultat des essais cliniques etc. Donc il n’y a pas de secret. Ce qui est secret dans la pharma, ce sont les stratégies de fusion/acquisition parce qu’on achète pour des milliards d’euros des laboratoires, des concurrents… On n’a pas envie que cela se sache, avec le risque que les prix varient, même de quelques pourcent, ou que le projet échoue.

Depuis 2015, Sanofi a mis en place une cybersécurité “consolidée”. De quoi s’agit-il ?

À la différence de la cybersécurité fédérée, constituée d’équipes cyber autonomes, la cybersécurité consolidée signifie qu’il y a une stratégie commune pour l’ensemble du groupe et une équipe référente en cybersécurité pour la totalité des unités cyber partout dans le monde. Vu la taille du groupe, c’est un choix d’organisation qui nous assure une cohérence dans la gestion des enjeux cyber. Quel que soit le pays, quel que soit le métier au sein du groupe, la posture cyber de Sanofi est la même. Les trois piliers fondamentaux que sont les mesures de protection, de détection et de réponse à incidents sont exactement les mêmes, partout dans le monde.

Quel que soit le pays, quel que soit le métier au sein du groupe, la posture cyber de Sanofi est la même

Pourquoi automatiser la cybersécurité est-il un enjeu important ?

C’est vital. Aujourd’hui, les attaques sont si évolutives et rapides qu’on ne fait pas le poids si on ne compte que sur des processus manuels. L’automatisation nous permet de compenser. En face, les attaquants ont des automates, les codes d’attaque, ça change tous les quatre matins… Dans ce contexte, mieux vaut avoir une équipe de type “force spéciale” que bataillon. Cela permet d’avoir une cybersécurité d’action, avec une forte réactivité et une forte mobilité.

Combien de personnes composent votre équipe, et avec quels profils ?

C’est une équipe compacte d’environ 130 personnes : 80 internes et une cinquantaine de personnes externes. Les internes sont des salariés Sanofi, avec deux profils majeurs. Les cyber spécialistes ont des compétences en numérique, en réseau, en système d’exploitation et en couches applicatives, donc des profils plutôt issus de l’IT avec une spécialisation en cyber. S’ils ne l’ont pas, ils l’acquièrent en rejoignant notre équipe. Les cyber analystes appartiennent à l’équipe chargée de la détection des attaques, le Cyber Security Operation Center (Cyber SOC). Ces experts ont une grande connaissance des techniques et des tactiques d’attaques, qui leur permet d’adopter le point de vue des attaquants. Quelques chiffres : 85% des membres de l’équipe actuelle sont des recrutements qui datent de moins de cinq ans, 40% des recrutements se font en interne sur des compétences IT que l’on forme à la cyber et 60% viennent de l’externe (autres entreprises ou école). Enfin, 90% sont des hommes. C’est un souci parce que cela ne permet pas la représentativité des psychologies. Or, dans un métier comme la cyber qui est facteur de fortes tensions, l’équilibre psychologique qu’apporte la parité homme-femme est un atout. On prend en compte cette disparité et on y travaille.

L’Anssi recommande de consacrer 10% du budget IT à la cybersécurité. Qu’en est-il chez Sanofi ?

L’important, ce n’est pas de savoir si on est à 5% ou 10% mais si on a les moyens de conduire sa mission. Chez Sanofi, nous avons les moyens de conduire notre mission. Le budget de la cyber chez Sanofi représente entre 3 et 5% du budget IT qui est de 1,5 milliard d’euros par an. Ce budget peut être revu en cours d’année si nous avons besoin de plus.

Il est inenvisageable qu’un incident, qu’il soit d’origine cyber ou technique, empêche la livraison de médicaments.

Quelles sont vos priorités opérationnelles en matière de cybersécurité ?

La continuité de l’activité est notre enjeu numéro un. Il est inenvisageable qu’un incident, qu’il soit d’origine cyber ou technique, empêche la livraison de médicaments. Comme tous les laboratoires pharmaceutiques du monde, nous sommes tenus d’assurer une continuité d’approvisionnement. Cela concerne aussi bien la fabrication que toute la logistique, depuis l’approvisionnement des matières premières jusqu’à la livraison des médicaments. Notre enjeu est non seulement de protéger cette chaîne critique, mais aussi de s’assurer que chaque partie de la chaîne communique et échange des données pour détecter au plus vite une attaque et la bloquer. Il y a donc un effort important mené dans l’intégration des différentes couches et des différents services de la cyber pour accélérer la détection, la réponse et la mise en sécurité de l’entreprise. Aucune entreprise n’a de protection infaillible. Les attaquants pourront toujours franchir ce mur. L’enjeu, c’est de les détecter le plus rapidement possible afin de les empêcher d’avancer dans notre système. Toujours les détecter, toujours les renvoyer dehors le plus vite possible.

Combien de données collectez-vous par jour pour assurer cette détection en amont ?

Nous collectons tous les ans 500 milliards de données pour la détection des attaques. Ramené en temps réel, cela donne environ 60 000 événements collectés par seconde. En parallèle, nous collectons tous les jours 300 millions de données qui nous permettent d’avoir une connaissance en temps réel de l’état de nos protections (données de configuration des machines, des logiciels, du réseau…). Nous en déduisons, sur la base d’algorithmes développés en interne, les risques résiduels liés à la protection de notre environnement. Ce sont probablement à ce jour les plus gros puits de données qui existent chez Sanofi, en volume.

Comment vous assurez-vous que vos partenaires disposent d’un niveau de sécurité suffisant ?

En cyber, vos partenaires fo,nt également partie de votre sphère de responsabilité. Nos partenaires sont un sujet de préoccupation croissant car ils représentent un risque cyber pour Sanofi. S’ils sont attaqués et ne peuvent plus délivrer le service attendu, cela nous impacte immédiatement, jusque dans nos obligations de livrer des médicaments. Ce risque est en augmentation car les réseaux criminels ont bien compris que les grands groupes se protégeaient de plus en plus alors que les PME ne disposaient pas toujours de la même maturité.

Pour évaluer le risque lié aux tierces parties, nous nous avons participé, avec une startup française, à l’émergence d’un service qui évalue la maturité de nos partenaires dans le domaine de la cyber, de la continuité de l’activité et de la Protection des Données Personnelles. À partir de cette évaluation, nous émettons des recommandations aux métiers. C’est un cercle vertueux qui permet à tous d’augmenter sa sécurité.

Chaque année, nous détectons plus d’une centaine de partenaires qui exposent des données de Sanofi.

Combien de vos partenaires ont été impactés par une cyberattaque cette année ?

Huit ont été significativement impactés, avec des répercussions opérationnelles chez nous. Au-delà de notre activité, cela expose aussi nos informations. Il n’y a pas de partenariat sans échange d’informations (commande, contrat, prix…). La donnée est un enjeu capital. On fait travailler nos partenaires sur de la donnée, soit parce qu’ils font des études cliniques pour nous, soit parce qu’ils font de la supervision de lignes de production pour nous… Or, si cette donnée vient à tomber dans le domaine public, cela peut trahir des secrets. Chaque année, nous détectons plus d’une centaine de partenaires qui exposent des données de Sanofi. Nous évaluons donc la maturité de nos partenaires sur le sujet. Nous surveillons également le deep et le dark web, où les données volées ou exposées se retrouvent. Notre travail consiste à réagir le plus vite possible, en quelques minutes, car plus longtemps la donnée est exposée, plus elle risque d’être capturée ou copiée par d’autres.

Face à un risque cyber, une solution extrême consiste à arrêter une chaîne de production. Cela vous est-il déjà arrivé ?

Oui, nous avons déjà décidé d’arrêter une chaîne de production. La direction générale nous a suivi. La cyber de Sanofi a un mandat exclusif pour traiter du risque cyber et cela peut inclure l’arrêt de systèmes et donc d’activités opérationnelles. Il nous est demandé cependant de ne pas mettre en péril la continuité de l’approvisionnement en médicaments. S’il y a un risque sur cette continuité, on doit en référer à la direction générale. Pour tout le reste, nous pouvons arrêter n’importe quelle machine, n’importe quel serveur, n’importe quel réseau, à n’importe quel moment, y compris isoler un pays, une plaque ou une usine, quoi qu’il en coûte. Et un arrêt peut coûter plusieurs dizaines de millions d’euros… On arrête en moyenne une centaine de machines par an car cela permet de bloquer la propagation des attaques. Disposer d’un tel mandat fait partie des capacités operationnelles que les patrons de la cybersécurité doivent avoir négocié.