N'oublions pas la sécurité !

Le 01 janvier 2012 par Aurélie Dureuil
LES DONNÉES GÉNÉRÉES PAR LA R&D SONT PARMI LES PLUS PROTÉGÉES.
LES DONNÉES GÉNÉRÉES PAR LA R&D SONT PARMI LES PLUS PROTÉGÉES.
©©AstraZeneca

Alors que l'informatique devient incontournable pour de nombreuses opérations dans l'industrie pharmaceutique, la question de la sécurisation des systèmes se pose. Afin de réduire les risques liés à l'utilisation de nouvelles technologies, des normes sont mises en place et des sociétés interviennent pour apporter des solutions adaptées.

MES, ERP, CRM, etc., mais aussi dématérialisation des échanges, l'informatique s'est immiscée à tous les niveaux de l'entreprise. Dans tous les secteurs d'activité, l'utilisation de tels systèmes entraîne de nouveaux besoins en termes de sécurisation des données et des outils de travail. L'industrie pharmaceutique n'est bien entendu pas en reste. « Il n'y a pas tellement de différences entre les banques et l'industrie pharmaceutique. Ils ont des besoins sur la traçabilité et la confidentialité. Et sur la propriété intellectuelle pour l'industrie pharmaceutique », constate Cyrille Barthélémy, directeur des activités Sécurité d'Intrinsec. La société de près de 200 personnes intervient pour des services d'hébergement et d'infogérance de systèmes d'information et dans la sécurité, son activité historique. Matthieu Hentzien, responsable commercial d'Hervé Schauer Consultants (HSC), renchérit : « Le secteur de l'industrie pharmaceutique est très mature en matière de la sécurité des systèmes d'information. Ces dernières années, nous avons travaillé pour des acteurs un peu en avance sur leur temps ». La société de conseil intervient essentiellement sur la partie sécurité des systèmes d'information. Les besoins de l'industrie pharmaceutique sont certes communs aux autres secteurs sur certains points, ils sont aussi très spécifiques au métier exercé. Comme le confirme Cyrille Barthélémy : « Il y a des demandes communes à tous les secteurs en termes de sécurité. Souvent les entreprises maîtrisent mal leur patrimoine informationnel. Il nous faut bien comprendre ce qui a de la valeur, ce qui est stratégique. Ensuite nous intégrons les contraintes métiers et réglementaires. Dans l'industrie pharmaceutique, la priorité est donnée aux phases de R&D et de production ». En effet, on imagine la panique si un virus informatique détruisait les données de recherche sur un candidat médicament développé depuis plusieurs années, ou si un blocage de l'outil informatique contraignait à stopper la production pendant plusieurs jours afin de résoudre le problème. Des questions qui préoccupent le secteur. Comme en témoigne la mise en place d'une commission de la Société française des sciences et techniques pharmaceutiques (SFSTP) sur la Gestion des données clés d'un laboratoire pharmaceutique et harmonisation des systèmes d'informations tout au long de la chaîne du médicament. Cette commission se penche notamment sur « la dématérialisation des échanges entre fabricants et clients et entre fabricants et autorités ».

« Les entreprises de l'industrie pharmaceutique ont une forte dépendance à l'outil informatique. Toute forme d'atteinte (disponibilité, confidentialité, intégrité) à ces systèmes peut avoir de graves conséquences sur les différents processus. Il est donc naturel que ces systèmes soient pris en compte dans une démarche dédiée de gestion du risque. Le risque informatique fait aujourd'hui l'objet d'une attention particulière », constate Matthieu Hentzien. Plusieurs paramètres entrent alors en jeu pour construire une PSSI (politique de sécurité du système d'information) adaptée. Le responsable commercial d'HSC souligne l'importance du budget alloué à cette problématique, du cadre législatif et normatif et enfin de la nécessité de rendre des comptes aux parties prenantes (actionnaires, clients... ). En termes de budget, Cyrille Barthélémy d'Intrinsec souligne la sensibilisation plus importante des grands groupes et leurs sous-traitants. « Nous sommes régulièrement mandatés par des grands laboratoires qui veulent s'assurer que leurs sous-traitants mettent en place une politique de sécurité. Ils veulent savoir s'ils peuvent travailler en confiance avec des sociétés qui manipulent également des données de laboratoires concurrents, si les règles qu'ils ont édictées sont correctement prises en compte, etc. Et souvent, ces sociétés sous-traitantes font ensuite appel à nous de manière directe », détaille-t-il. Du côté des start-up, les budgets sont moindres et les stratégies ne sont pas toujours les mêmes. Le directeur des activités Sécurité d'Intrinsec dénombre peu de contacts avec des start-up. « Nous sommes sollicités essentiellement par de grosses structures et leurs sous-traitants, alors que les start-up auraient aussi beaucoup à y gagner. Il est en effet très difficile d'évaluer l'impact financier de la malveillance informatique », ajoute-t-il. Du côté d'HSC, Matthieu Hentzien souligne que « les start-up de biotechnologie privilégient la protection de l'activité de R&D sur laquelle repose souvent le modèle économique ».

Enfin, pour toutes ces démarches de sécurisation des systèmes d'informations, le cadre législatif et normatif n'est jamais loin. Au niveau de la recherche et surtout des essais cliniques, les laboratoires pharmaceutiques doivent répondre le cas échéant à des obligations sur les entreprises qui manipulent des données personnelles médicales. « Dans l'industrie pharmaceutique, cela va plus loin car les sociétés doivent obtenir un agrément auprès de l'ASIP pour le stockage des données à caractères médicales », précise Matthieu Hentzien (HSC). Enfin pour l'industrie pharmaceutique, la 21 CFR (Code of federal regulations) Part 11 édictée par la FDA régit de nombreux échanges. La société Ennov qui fournit des solutions logicielles pour l'industrie pharmaceutique est « évidemment conforme à la 21 CFR Part 11 », souligne Olivier Pâris, son p-dg. La société propose des logiciels de gestion des documents, des processus d'entreprise (workflow), de la pharmacovigilance, mais aussi des affaires réglementaires, et de la formation. Et la conformité à la 21 CFR Part 11 est incontournable pour ces logiciels. « Le module 21 CFR Part 11 d'Ennov garantit la conformité de la signature électronique à cette norme par la réauthentification de l'utilisateur lors des actions critiques (double signature) via la saisie de ses deux identifiants (login, mot de passe). Il assure les laboratoires de la traçabilité de toutes les modifications dans le système. En effet, tout changement fait par un industriel doit être tracé : par qui, à quelle date et heure, pour quelle raison, etc. Cela permet d'avoir un historique de tout ce qui concerne un produit ou une action », détaille Olivier Pâris. La société propose également pour ses logiciels des kits de validation dont l'utilisation permet de faire gagner un temps non négligeable aux industriels de la pharmacie lors de la validation de l'application dans leur environnement.

Ainsi, les contraintes de budget, de réglementation et de gouvernance guident les choix de l'industrie pharmaceutique pour assurer la sécurité de leurs systèmes d'informations. Les industriels font appel à des sociétés spécialisées dans la sécurité informatique telles qu'Intrinsec et HSC. En plus d'installer des logiciels répondant aux normes du secteur, ces entreprises interviennent notamment pour des missions d'audit des systèmes existants. « Nous pratiquons des tests d'intrusion qui consistent à essayer de pénétrer dans les systèmes par tous les moyens afin de détecter des failles de sécurité. Nous étudions les pratiques. Nous assurons également des prestations de gouvernance, d'analyses de risques, souvent en assistant le responsable sécurité des systèmes d'information. Enfin, nous intervenons sur la sécurité opérationnelle pour un accompagnement sur l'infrastructure de sécurité ou pour la réaction en cas d'incident », détaille Cyrille Barthélémy. Ces entreprises peuvent également intervenir en amont lors de la structuration d'un projet informatique. « Dans ce cas, nous étudions au moment des phases d'études, quels sont les flux d'informations, quels sont les risques dans le contexte environnemental, où sont les points stratégiques à protéger, etc. En effet, nous remarquons pour la R&D par exemple un éclatement de la donnée, c'est-à-dire que les industriels partitionnent les informations. Les données d'essais cliniques ne sont pas reliées à la molécule, etc. Et par contre, ils ont un endroit très sanctuarisé où l'information est consolidée », ajoute le directeur des activités Sécurité d'Intrinsec.

Si l'industrie pharmaceutique montre ainsi une grande conscience des points stratégiques à sécuriser, Matthieu Hentzien d'HSC pointe des failles. « Majoritairement l'activité R&D est au cœur des attentions en terme de protection. Par contre, d'autres systèmes (RH, marketing, etc.) sont parfois un peu délaissés et constitue un maillon faible, une porte d'entrée. Par exemple, un site Internet trop rapidement mis en ligne (sans contrôle sur la qualité du code) peut constituer pour un hacker une opportunité de rebond dans le système de l'entreprise sur des systèmes plus critiques. Dans le cadre d'une prestation de contrôle (test d'intrusion) commandité par un responsable sécurité du système d'information consciencieux, nous sommes également intervenus, il y a quelques années, sur un site de production qui s'était entièrement équipé en réseau sans fil pour un gain de productivité. Les consultants d'HSC ont pu à l'aide d'une antenne amplificatrice se connecter puis compromettre le réseau du site et potentiellement nuire à la production. » Une analyse que tempère Cyrille Barthélémy : « Les groupes pharmaceutiques utilisent toutes les nouvelles technologies de l'information. C'est le rôle des directeurs des systèmes informatiques d'être des facilitateurs pour l'innovation. Par contre, toutes les technologies ne peuvent pas être appliquées à toutes les données et applications. » C'est là qu'interviennent les analyses de risques. Les systèmes d'informations sont devenus incontournables dans de nombreux secteurs et l'industrie pharmaceutique ne fait pas exception. Reste à bien les utiliser pour ne pas mettre en péril la sécurité des entreprises.

DÉFINITION DE LA 21 CFR PART 11

Effective depuis août 1997 et révisée en avril 2011, cette réglementation édictée par la FDA « énonce les critères en vertu desquels l'Agence estime les documents électroniques, les signatures électroniques et les signatures manuscrites exécutées sur les dossiers électroniques (... ) dignes de confiance, fiables et généralement équivalents à des dossiers papiers et des signatures manuscrites exécutées sur papier ».


LA NORME ISO 27 001 CONCERNE LA SÉCURITÉ INFORMATIQUE

« L'ISO/CEI 27001 : 2005 couvre tous les types d'organismes (par exemple : entreprises commerciales, organismes publics, organismes à but non lucratif). L'ISO/CEI 27001 : 2005 est destiné à assurer le choix de mesures de sécurité adéquates et proportionnées qui protègent les actifs et donnent confiance aux parties intéressées », indique l'Organisation internationale de normalisation. « Cette norme internationale offre un cadre et des méthodes pour déterminer et maintenir un niveau de sécurité adapté aux contraintes, répondant aux obligations et aux exigences des parties prenantes », souligne Matthieu Hentzien, responsable commercial d'HSC. Si elle n'est pas spécifique à l'industrie pharmaceutique, elle est très diffusée en Europe et au Japon. « Quand nous sommes sollicités, nous utilisons la norme ISO 27 001, qui est un état de l'art de la sécurité informatique. Nous commençons alors par les aspects de gouvernance et de gestion. Ensuite, nous intégrons les éléments spécifiques au métier, pour l'industrie pharmaceutique il s'agit de la 21 CFR Part 11. Et enfin, nous ajoutons les exigences du client. En général, les règles édictées par les laboratoires pharmaceutiques prennent déjà en compte les contraintes réglementaires », conclut Cyrille Barthélémy, directeur des activités Sécurité d'Intrinsec.


Réagir à cet article
imprimer Ajouter à vos favoris envoyer à un ami Ajouter à mes favoris Delicious Partager cet article avec mon réseau profesionnel sur Viadeo linkedin Partager cette page sous Twitter S'abonner au flux RSS de Pharma
A la une sur Pharma

Effectuer une recherche

Article extrait d'Industrie Pharma Magazine

Le 1er magazine de la chimie fine et du process pharmaceutique

 Contactez la rédaction
 Abonnez-vous


A suivre dans l'actualité

Vaccins
Traçabilité
Stratégie
Social

Sites du groupe

Usine Nouvelle Portail de l'industrie L'Echo Touristique Argus de l'Assurance

 Publicité  Pour nous contacter  Conditions générales d’utilisation  RSS