La sécurité de la sous-traitance pharmaceutique

La sécurité de la sous-traitance pharmaceutique

Les entreprises pharmaceutiques se sont longtemps reposées sur une chaîne logistique complexe pour commercialiser leurs produits. Ces dernières années, de plus en plus d’entreprises font appel à des sous-traitants, ou CMO (contract manufacturing organization), pour les principes pharmaceutiques actifs (API) et les formes galéniques définitives (FDF).

Le recours à des sous-traitants permet aux entreprises pharmaceutiques de se concentrer sur leur cœur de métier, de réduire les dépenses d’investissement et d’avoir une production plus agile. Mais, dans le contexte actuel de menaces accrues pour la cybersécurité, l’extension de la fabrication à des ressources extérieures ajoute des risques supplémentaires si les protections appropriées ne sont pas en place.

En effet, les entreprises pharmaceutiques savent pertinemment qu’une faille de sécurité peut avoir des conséquences considérables et compromettre la formulation d’une recette, le contrôle qualité, la propriété intellectuelle, la productivité, etc. Le cyber-risque augmente si l’intégration des actifs d’un sous-traitant au réseau principal de l’entreprise est autorisée.

Pour les entreprises pharmaceutiques, la question critique est la suivante : Comment conserver une chaîne logistique flexible et atténuer le risque pour la cybersécurité, lorsque la fabrication sort des limites de l’entreprise ?

La valeur de la fabrication intelligente commence par une infrastructure sécurisée et fiable. Lisez l’eBook Information Infrastructure and Security

Une chaîne logistique sécurisée commence dans l’entreprise et englobe tous les partenaires

Bien évidemment, pour toute entreprise pharmaceutique, le premier maillon d’une chaîne logistique « cybersécurisée » est sa propre infrastructure et ses sites de production clés. En interne, les entreprises doivent adopter une approche de la cybersécurité qui soit axée sur les risques et respecte les meilleures pratiques mondiales, identifie les priorités et applique les technologies, politiques et procédures basées sur une stratégie de défense en profondeur.

À travers une évaluation des risques, l’entreprise pharmaceutique déterminera aussi le niveau de sécurité requis pour tout processus sous-traité.

L’obstacle suivant consiste à déterminer si les sous-traitants envisagés partagent la posture de cybersécurité de l’entreprise pharmaceutique et appliquent le même degré de rigueur. De nouveau, une évaluation des risques pour la cybersécurité constitue la meilleure approche pour évaluer la posture de sécurité du sous-traitant et atteindre cet objectif. Dans l’idéal, l’évaluation doit être réalisée sur le site du sous-traitant avant la finalisation de tout contrat.

Au-delà de l’évaluation de la posture de sécurité globale d’un sous-traitant, une évaluation identifiera aussi les failles susceptibles d’exposer les actifs de l’entreprise pharmaceutique à un risque. Cette dernière déterminera ensuite les solutions permettant d’atténuer ce risque et isolera comme il se doit le système du sous-traitant du sien, tout en conservant une visibilité des processus ou informations critiques. Les solutions appropriées incluent la segmentation du réseau, des pare-feux dédiés, des accès à distance sécurisés, des zones de sécurité et d’autres technologies.

Le respect des normes de sécurité

Au final, l’entreprise pharmaceutique et le sous-traitant doivent s’accorder sur les normes de sécurité à respecter. Mais tout le monde sait que l’adoption commune de normes et leur respect peuvent être deux aspects extrêmement différents.

Par conséquent, une approche orientée risques pour la cybersécurité de la chaîne logistique doit s’étendre à la conception, au déploiement et à la surveillance du système du sous-traitant, ainsi qu’à la propriété des actifs de production et de l’infrastructure d’information. Une entreprise pharmaceutique a trois possibilités en matière de propriété, avec différents degrés de risque associé :

  • Le sous-traitant possède les actifs de production et l’infrastructure d’information. Cette approche nécessite la dépense d’investissement la plus faible. Mais elle repose aussi sur le fait que le sous-traitant a l’expertise pour conserver la posture de sécurité appropriée et ne requiert qu’une supervision limitée.
  • Le sous-traitant détient les actifs de production, tandis que l’entreprise pharmaceutique demeure propriétaire de l’infrastructure d’information. Cette option réduit au minimum la dépense d’investissement en tirant parti des actifs de production en place. Toutefois, l’entreprise pharmaceutique conserve la propriété et la gestion de l’infrastructure, laquelle est habituellement déployée via un centre de données industriel sur un réseau segmenté.
  • L’entreprise pharmaceutique demeure propriétaire des actifs de production et de l’infrastructure d’information. Dans ce scénario, les dépenses d’investissement de l’entreprise pharmaceutique sont plus élevées, mais elle a l’assurance d’un niveau de sécurité renforcé. Le sous-traitant fournit uniquement les locaux de production et le personnel pour faire fonctionner les équipements.

La prochaine transformation industrielle dans le secteur des sciences de la vie est en marche. Exploitez les dernières technologies pour un retour sur investissement maximal, une meilleure utilisation des actifs et une mise sur le marché accélérée. Stratégies du déploiement de l’usine du futur

Avantage de l’infrastructure en tant que service (IaaS)

Une entreprise pharmaceutique peut déterminer que la mesure de prudence pour une multitude d’applications de sous-traitants consiste à demeurer propriétaire de l’infrastructure d’information. Toutefois, le déploiement et la surveillance d’une infrastructure sécurisée sur plusieurs sites de production en sous-traitance peuvent relever du défi.

En premier lieu, les équipes internes chargées de la gestion des sous-traitants disposent de ressources limitées. Le recours au département informatique de l’entreprise, lequel est dédié aux systèmes d’entreprise et de production critiques, n’est généralement pas une option. Les entreprises n’ont tout simplement pas la bande passante en interne pour prendre en charge des dizaines ou des centaines de sites de production en sous-traitance.

L’externalisation du déploiement et de la surveillance de l’infrastructure auprès d’un tiers peut constituer une option efficace et rentable. Un fournisseur IaaS peut proposer une architecture unifiée, avec un déploiement standard et validé offrant des services communs, à de multiples sites de production en sous-traitance dans le monde.

Des accords types incluent un reporting trimestriel et des contrats de service stipulant des délais de réponse pour les problèmes et les anomalies allant des pannes de réseau ou d’infrastructure aux violations de la cybersécurité.

Découvrez plus avant l’infrastructure en tant que service (IaaS) et d’autres services pour les réseaux industriels à même de rationaliser l’externalisation de la fabrication et de contribuer à atténuer le risque pour la cybersécurité.

Thomas House
Publié 7 Juillet 2019 Par Thomas House, Business Development Lead-Life Sciences, Network and Security Services, Rockwell Automation
  • Contact:

Contact

Rockwell Automation et nos partenaires mettent à disposition des connaissances exceptionnelles qui permettent de concevoir, de mettre en place et de pérenniser votre investissement dans les systèmes d'automatisation.

Automation Today

Recevez les dernières informations sur les tendances et les technologies de Rockwell Automation.