La sécurité de la sous-traitance pharmaceutique

Une chaîne logistique sécurisée commence dans l’entreprise et englobe tous les partenaires

Bien évidemment, pour toute entreprise pharmaceutique, le premier maillon d’une chaîne logistique « cybersécurisée » est sa propre infrastructure et ses sites de production clés. En interne, les entreprises doivent adopter une approche de la cybersécurité qui soit axée sur les risques et respecte les meilleures pratiques mondiales, identifie les priorités et applique les technologies, politiques et procédures basées sur une stratégie de défense en profondeur.
À travers une évaluation des risques, l’entreprise pharmaceutique déterminera aussi le niveau de sécurité requis pour tout processus sous-traité.
L’obstacle suivant consiste à déterminer si les sous-traitants envisagés partagent la posture de cybersécurité de l’entreprise pharmaceutique et appliquent le même degré de rigueur. De nouveau, une évaluation des risques pour la cybersécurité constitue la meilleure approche pour évaluer la posture de sécurité du sous-traitant et atteindre cet objectif. Dans l’idéal, l’évaluation doit être réalisée sur le site du sous-traitant avant la finalisation de tout contrat.
Au-delà de l’évaluation de la posture de sécurité globale d’un sous-traitant, une évaluation identifiera aussi les failles susceptibles d’exposer les actifs de l’entreprise pharmaceutique à un risque. Cette dernière déterminera ensuite les solutions permettant d’atténuer ce risque et isolera comme il se doit le système du sous-traitant du sien, tout en conservant une visibilité des processus ou informations critiques. Les solutions appropriées incluent la segmentation du réseau, des pare-feux dédiés, des accès à distance sécurisés, des zones de sécurité et d’autres technologies.

Le respect des normes de sécurité

Au final, l’entreprise pharmaceutique et le sous-traitant doivent s’accorder sur les normes de sécurité à respecter. Mais tout le monde sait que l’adoption commune de normes et leur respect peuvent être deux aspects extrêmement différents.
Par conséquent, une approche orientée risques pour la cybersécurité de la chaîne logistique doit s’étendre à la conception, au déploiement et à la surveillance du système du sous-traitant, ainsi qu’à la propriété des actifs de production et de l’infrastructure d’information. Une entreprise pharmaceutique a trois possibilités en matière de propriété, avec différents degrés de risque associé :

• Le sous-traitant possède les actifs de production et l’infrastructure d’information. Cette approche nécessite la dépense d’investissement la plus faible. Mais elle repose aussi sur le fait que le sous-traitant a l’expertise pour conserver la posture de sécurité appropriée et ne requiert qu’une supervision limitée.
• Le sous-traitant détient les actifs de production, tandis que l’entreprise pharmaceutique demeure propriétaire de l’infrastructure d’information. Cette option réduit au minimum la dépense d’investissement en tirant parti des actifs de production en place. Toutefois, l’entreprise pharmaceutique conserve la propriété et la gestion de l’infrastructure, laquelle est habituellement déployée via un centre de données industriel sur un réseau segmenté.
• L’entreprise pharmaceutique demeure propriétaire des actifs de production et de l’infrastructure d’information. Dans ce scénario, les dépenses d’investissement de l’entreprise pharmaceutique sont plus élevées, mais elle a l’assurance d’un niveau de sécurité renforcé. Le sous-traitant fournit uniquement les locaux de production et le personnel pour faire fonctionner les équipements.

Avantage de l’infrastructure en tant que service (IaaS)

Une entreprise pharmaceutique peut déterminer que la mesure de prudence pour une multitude d’applications de sous-traitants consiste à demeurer propriétaire de l’infrastructure d’information. Toutefois, le déploiement et la surveillance d’une infrastructure sécurisée sur plusieurs sites de production en sous-traitance peuvent relever du défi.
En premier lieu, les équipes internes chargées de la gestion des sous-traitants disposent de ressources limitées. Le recours au département informatique de l’entreprise, lequel est dédié aux systèmes d’entreprise et de production critiques, n’est généralement pas une option. Les entreprises n’ont tout simplement pas la bande passante en interne pour prendre en charge des dizaines ou des centaines de sites de production en sous-traitance.
L’externalisation du déploiement et de la surveillance de l’infrastructure auprès d’un tiers peut constituer une option efficace et rentable. Un fournisseur IaaS peut proposer une architecture unifiée, avec un déploiement standard et validé offrant des services communs, à de multiples sites de production en sous-traitance dans le monde.
Des accords types incluent un reporting trimestriel et des contrats de service stipulant des délais de réponse pour les problèmes et les anomalies allant des pannes de réseau ou d’infrastructure aux violations de la cybersécurité.
Découvrez plus avant l’infrastructure en tant que service (IaaS) et d’autres services pour les réseaux industriels à même de rationaliser l’externalisation de la fabrication et de contribuer à atténuer le risque pour la cybersécurité.