Sécurité des Systèmes d’Information (SSI)

dans les Life Sciences

Un défaut de sécurisation entraine toujours des dommages, même s’ils sont de gravité différente. L’entreprise peut perdre en compétitivité. Les données confidentielles dont elle avait la charge peuvent être divulguées. Au pire, une prise de contrôle par des agents malveillants peut menacer son existence même, quand ses processus opérationnels sont bloqués et que ses données sont détruites ou volées.

Les acteurs du secteur des sciences de la vie sont tout particulièrement exposés. D’une part, on constate une tendance à l’obsolescence de leurs systèmes de protection. Les mesures de protection sont lentes à se mettre en place. D’autre part, les données de la santé ont une immense valeur financière, particulièrement dans la recherche. La forte portée médiatique de la révélation des cyberattaques nuit durablement à la réputation de l’entreprise.

Qu’est-ce qu’une donnée de santé ? C’est une information qui permet de relier une personne et son état de santé. Cette définition réglementaire s’applique à des personnes physiques, mais également à des résultats d’essais cliniques ou d’analyses médicales, ainsi qu’à toute donnée relative à une maladie ou un handicap.

Les données de santé sont protégées. La réglementation de protection s’applique à toutes les parties prenantes que nous connaissons bien, comme les hôpitaux, les pharmacies, les centres de recherche, les cabinets de médecins, etc. Et elle s’applique aussi aux opérateurs qui exploitent, gèrent ou hébergent leurs données. Par exemple, une entreprise qui propose des infrastructures informatiques, comme un hébergeur Cloud, est soumise à cette réglementation.

Voir ci-dessous quelques mesures applicables à la protection des données de santé

• Dispositions sur l’hébergement des données de santé (art. L. 1111-8 et R. 1111-8-8 et s. du CSP) ;
• Dispositions sur la mise à disposition des données de santé (art. L. 1460-1 et s. du CSP) ;

Si les données de santé sont l’objet de mesures de protection très strictes, c’est parce que leur confidentialité représente un enjeu majeur. Leur accès requiert un consentement préalable explicite du patient. Tous les opérateurs, les établissements publics et les entreprises, doivent mettre en place des mesures strictes pour restreindre la lecture ou la divulgation des données. A l’échelle d’une entreprise, une politique exigeante de contrôle des accès est obligatoire. Elle limite le risque d’une intrusion malveillante ou d’une simple erreur humaine.

Par le principe du moindre privilège, seules les personnes habilitées auront un accès. Les profils utilisateurs et les droits associés sont définis par rapport aux domaines de responsabilités des personnes. Les collaborateurs du département Finance n’ont pas les mêmes accès que leurs collègues du Médical, par exemple. Des actions de formation et de sensibilisation sont un complément indispensable à la sécurisation des accès informatiques.

L’entreprise doit également se débarrasser des usages hérités d’un temps où les menaces sécuritaires étaient plus rares : plus de compte partagé, plus d’autorisation temporaire, plus de droits actifs pour les personnes qui ont quitté l’entreprise ou changé de poste, plus de mot de passe générique… L’authentification et la validation des demandes d’accès est une procédure sécurisée. Et une revue périodique des comptes utilisateurs vérifie la mise à jour des permissions d’accès sur la base des évolutions métier.

Voir ci-dessous quelques textes réglementaires applicables à la confidentialité des données de santé

• Loi du 6 Janvier 1978 relative à l’informatique, aux fichiers et aux libertés
• Loi du 20 juin 2018 relative à la protection des données personnelles
• Volet réglementaire du Code de la Santé Publique (CSP Art. R4127-1
• HIPAA (Health Insurance Portability and Accountability Act) de 1996

Protégée de tout accès illicite, une donnée de santé doit être disponible à tout moment pour les personnels habilités, dans la production pharmaceutique ou au cours d’essais cliniques par exemple. Une perte d’accès aux données par les utilisateurs autorisés est un risque d’interruption des opérations pour l’entreprise ou un risque d’atteinte à la sécurité des patients.

Maintenir la disponibilité des données passe par une série de mesures appliquées aux systèmes informatiques. Ces systèmes doivent faire l’objet d’une maintenance préventive et corrective pour limiter les risques de défaillance matérielle et logicielle. Les locaux informatiques et le réseau d’entreprises sont sécurisés contre les menaces externes.

L’entreprise doit mettre en place des mesures de continuité de service en cas de défaut ponctuel et installer, maintenir et tester un système de sauvegarde et de restauration des données. Il est important de noter que toutes les actions qui visent à assurer la disponibilité des données sont applicables aux sous-traitants chargés de leur hébergement, a fortiori s’ils sont localisés hors du territoire national.

La diversité, la fréquence et l’intensité des menaces mises au point par les hackers augmente. Les médias relatent régulièrement des actions d’ampleur. Les entreprises doivent désormais intégrer les risques de cyberattaques dans leurs plans de prévention

L’attaque par virus est une infection du système informatique par un logiciel malveillant dont la propagation et la reproduction vont endommager les données de l’application touchée et celles qui lui sont connectées. L’attaque par malware est l’introduction frauduleuse d’un logiciel malveillant dans un système afin de permettre aux hackers d’accéder à l’ensemble des données. L’attaque par ransomware vise à mettre un système informatique hors d’état de fonctionner de manière réversible et à obtenir de la victime le paiement d’une rançon.

Et le piratage de compte est la prise de contrôle d’un accès informatique au détriment de son propriétaire pour s’emparer de données confidentielles.

Les hackers profitent également des failles de sécurité, c’est-à-dire exploitent une vulnérabilité des outils logiciels de l’infrastructure pour pénétrer dans les systèmes d’information. Citons encore le phishing, c’est-à-dire l’envoi d’un e-mail frauduleux destiné à tromper son destinataire et à l’inciter à communiquer des données confidentielles en se faisant passer pour un tiers de confiance. Ou le DDos qui paralyse un service, un serveur ou un réseau par l’envoi délibéré d’un volume trop élevé de trafic.

Les actes frauduleux commis dans le secteur de la santé ne sont pas différents de ceux qui touchent les autres secteurs économiques. Mais leurs impacts potentiellement graves sur la sécurité des patients, la qualité des produits et l’intégrité des données exigent des mesures de protection drastiques. Les entreprises concernées doivent donc faire preuve de grandes capacités d’anticipation pour produire des réponses techniques et organisationnelles. Le coût de l’attaque se révèle souvent bien plus élevé que celui des mesures de prévention.

Les acteurs de la santé doivent donc être vigilants lors de la mise en place d’un nouveau système ou d’un nouvel élément dans leur infrastructure. Ils doivent analyser attentivement les risques encourus avec l’ajout de ce nouveau composant. Et si besoin, ils doivent élever leur niveau d’exigences pour les mesures de sécurisation.

Désormais, l’attention des équipes de qualification est de plus en plus portée sur l’identification des failles de sécurités et la gestion des incidents. L’évolution vers une démarche de qualification plus formalisée de l’infrastructure informatique est révélatrice de cette prise de conscience.

Même si les exigences réglementaires n’ont pas encore entièrement intégré les enjeux de sécurité informatique, certains organismes ont déjà adapté le contenu de leurs recommandations :

• L’ISPE, à travers la 2nde édition du GAMP 5, préconise d’intégrer la gestion du risque lié aux cyberattaques tout au long du processus de qualification.
• L’ISPE, pour la 2nde édition de son guide dédié à l’Infrastructure IT.
• L’International Organization for Standardization (ISO), établit un ensemble de normes applicables aux systèmes de management et aux mesures en matière de sécurité de l’information.
• Le National Institute of Standards and Technology (NIST), qui propose un cadre de cybersécurité
• Le PIC/S, qui intègre les normes ISO sur la sécurité dans son guide de bonnes pratiques sur les systèmes informatisés

Les consultants Efor apportent une expertise reconnue dans la validation des systèmes informatisés et qualification d’infrastructure, combinant une maîtrise des exigences réglementaires et une compréhension approfondie des enjeux métier.

En choisissant Efor, les clients bénéficient d’un accompagnement sur mesure, adapté à leurs contraintes et à leurs objectifs, pour des systèmes fiables, conformes et performants.