Loading

Blog

Recent ActivityRecent Activity

Il est temps de s’intéresser à la cyberhygiène

Le secteur des sciences de la vie est confronté à des risques de cybersécurité uniques. Vérifiez si votre posture de sécurité est à la hauteur.

L’impact potentiel d’une cyberattaque contre une entreprise des sciences de la vie est complexe. Sont en jeu des informations patient et de propriété intellectuelle hautement critiques, des délais de production, des lots de produit à forte valeur, voire l’identité de la marque. Aucun fabricant de produits pharmaceutiques ne souhaite être celui qui ne parviendra pas à fournir à ses patients les médicaments essentiels dont ils ont besoin.

Alors que le retour sur investissement de la sécurité trouve son fondement dans l’évitement des risques, il s’avère à maintes reprises que le risque se traduit par un impact matériel direct sur la valorisation de l’entreprise et son chiffre d’affaires. Vous souvenez-vous des 310 millions de dollars perdus par une société pharmaceutique à cause du logiciel malveillant NotPetya ? Aucune organisation n’est à l’abri.

Toutefois, la bonne nouvelle est que les sociétés pharmaceutiques et de biotechnologies s’intéressent depuis longtemps aux réglementations de sécurité, ainsi qu’aux exigences en matière d’intégrité des données et de conformité. Cependant, les menaces évoluent en parallèle des technologies ; une stricte vigilance est donc de mise.

Prenez une minute et posez-vous les questions suivantes concernant vos pratiques de cyberhygiène, afin de déterminer si elles sont à la hauteur des menaces actuelles.

Connaissez-vous vos vulnérabilités ?

Le haut degré de connectivité des environnements de production actuels a pour conséquence une surface d’attaque (ou vulnérabilités) plus importante pour les cybermenaces. Sécuriser votre production implique d’aller au-delà des stratégies de défense en profondeur pour prendre en charge les cyber-risques sur l’ensemble du continuum d’attaque. Comment procéder ?

Appliquer le cadre de cybersécurité du NIST (National Institute of Standards and Technology) constitue un excellent point de départ.

  1. Identifiez vos ressources (inventaire des actifs) et les risques associés
  2. Mettez à profit les mécanismes de protection déjà en place (correctifs, suivi et contrôle d’accès) pour protéger vos ressources
  3. Détectez les anomalies et les événements qui contournent ces mécanismes de protection
  4. Mettez en place des capacités de réaction
  5. Développez un système capable d’assurer une sauvegarde et une récupération rapides

En mettant en œuvre avec succès ces principes de base de la cyberhygiène, vous établirez les fondements d’un programme de cybersécurité efficace et améliorerez votre capacité à vous défendre contre de futures cyberattaques.

Comment gérez-vous le problème de l’obsolescence ?

Personne ne peut échapper aux vulnérabilités, ni à l’obsolescence. De plus, appliquer les mises à jour ne se résume pas toujours à remplacer un équipement matériel ou appliquer un correctif. Vous devez être attentif aux réglementations en vigueur et à l’environnement dans lequel vous évoluez.

Tenez compte des aspects suivants lors de l’évaluation des risques associés à la maintenance matérielle et logicielle :

  • Quel serait l’impact en cas d’exploitation malveillante de cette vulnérabilité ? 
  • Est-il possible de remédier à cette vulnérabilité en appliquant un contrôle d’atténuation alternatif ?
  • Sinon, pouvez-vous justifier la migration de cette application vers un(e) plate-forme/solution/produit pris(e) en charge ?

Il n’existe pas de réponse universelle. Suivant les contrôles et les mécanismes de prévention en place, vous pouvez choisir de poursuivre la production ou de lancer un lot en l’état, car vous vous sentez protégé et estimez que le risque est atténué. Cependant, vous poser ces questions avant un incident, comprendre votre posture de sécurité et disposer d’une documentation et de contrôles adéquats vous aidera à être plus confiant dans vos décisions.

Votre entreprise est-elle prête à faire face aux attaques ?

Êtes-vous capable de définir clairement et rapidement votre stratégie et savez-vous de quelle façon vous réagirez en cas de cyberattaque ? Les organisations les mieux préparées sont celles où les équipes IT et d’exploitation collaborent pour répondre à ces questions. Veillez à ce qu’une telle collaboration soit en place au sein de votre entreprise, ce qui facilitera la résolution des problèmes. Comment impliquer les équipes ? Quels sont les outils disponibles ? De nouveaux outils sont-ils nécessaires ?

Vous devez réaliser ensemble des évaluations régulières afin de mesurer et de gérer les risques. Si vous estimez que les cinq piliers du cadre NIST sont couverts, il est possible que tout se passe bien pour vous. Cependant, n’hésitez pas à repousser vos limites en tant qu’équipe afin d’approfondir ce cadre de travail et mettre votre entreprise à l’épreuve.

Ainsi, nous suggérons souvent d’effectuer un exercice de groupe simulant un événement de sécurité. Réagissez en temps réel selon vos pratiques en place, en simulant la réponse à l’attaque et la récupération. Ce type d’exercice concret révèle rapidement les failles d’un programme.

Êtes-vous prêt à penser différemment ?

La cybersécurité n’est pas une discipline figée, que l’on peut oublier une fois mise en place. Vous devez en permanence chercher à comprendre et déterminer votre exposition, vos risques et votre état de préparation. Ne vous reposez pas sur vos acquis et identifiez systématiquement tout changement, tant interne qu’externe. Que pouvez-vous changer dans votre façon de faire ? Dans quels domaines avez-vous besoin d’aide ?

Réussir la mise en place de bases solides et saines en matière de cyberhygiène exige davantage que l’acquisition d’outils et de technologies. Vous devrez prendre en compte les aspects humains et organisationnels en créant une véritable culture du changement, dans laquelle les équipes d’exploitation, IT et administrative adoptent la sécurité comme aspect inhérent de leur travail quotidien et où le personnel sait parfaitement de quelle manière il contribue à l’objectif final.

Face à de tels enjeux, il peut être crucial de se pencher fréquemment sur ces questions pour pouvoir assurer la sécurité de vos activités et protéger votre chiffre d’affaires.


Jeff Rotberg
Jeff Rotberg
Consulting Services Business Development Lead, Rockwell Automation
Subscribe

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Recommandé pour vous