Sécurité des SI : focus sur les groupes pharmaceutiques

Best Practices a réalisé, pour le Cedhys (association des DSI des sciences de la vie), une enquête sur la sécurité des systèmes d’information dans les groupes pharmaceutiques.

Les études sur la sécurité des systèmes d’information se multiplient et l’on en tire globalement quatre enseignements :

  • Le niveau de sécurité reste globalement faible, en tous cas insuffisant par rapport à l’évolution des menaces.
  • La sécurité et la cybersécurité sont arrivées en tête des priorités des entreprises. Selon une étude CIONet (1), la sécurité figurait à la sixième place des priorités des entreprises européennes en 2014 (à la neuvième en 2012), elle est passée à la seconde place en 2015 et même à la première en 2016, d’après les études d’Enterprise Strategy Group (2) et de Gartner (3). Aux États-Unis, d’après le State of the CIO 2016, 29 % des dirigeants d’entreprises placent la sécurité dans leurs trois priorités, contre 18 % en 2014 et 23 % en 2015.
  • Les entreprises continuent à investir en sécurité : selon Gartner, la progression des dépenses, au niveau mondial, a été de 4,7 % en 2015 et de 7,9 % en 2016, soit 82 milliards de dollars. D’après une analyse de Cyberedge Group-Imperva (4), 68 % des entreprises européennes ont augmenté leur budget sécurité en 2015, seulement 8 % l’ont diminué. En 2016, 52 % des entreprises françaises l’ont l’augmenté, selon le Forum international de la cybercriminalité.
  • Paradoxalement, malgré les investissements colossaux en sécurité, des obstacles demeurent. La dernière enquête du Clusif (5) met en exergue les deux freins principaux à la conduite des missions de sécurité dans les entreprises françaises : le manque de moyens budgétaires et les contraintes organisationnelles, en hausse sensible par rapport à 2014 (respectivement + 8 points et + 15 points) (voir tableau). Et une entreprise française sur deux ne dispose pas d’une cellule de collecte et de traitement des incidents de sécurité.
  • Les comportements des utilisateurs posent toujours problème pour les DSI et les RSSI. Par exemple, 14 % des salariés français sont prêts à enfreindre la politique de sécurité de leur entreprise afin de travailler plus efficacement, selon une étude Vanson Bourne pour VMware (6). Sans parler des pratiques plutôt laxistes en matière de contrôle d’accès et de solidité des mots de passe. La même étude révèle que 37 % des DSI français estiment que le deuxième plus grand défi en matière de sécurité est la négligence ou le manque de formation des salariés.

Les entreprises les mieux protégées ont plusieurs caractéristiques en commun, soulignent les auteurs d’une étude d’Accenture (7) : les objectifs de sécurité sont alignés sur les objectifs métiers, les technologies émergentes sont utilisées face aux nouvelles formes de menaces, les budgets sécurité sont en croissance, des programmes pour détecter, analyser et endiguer les attaques sont opérationnels, et les RSSI portent réellement la stratégie sécurité, en reportant directement à la direction générale.

Des enjeux de protection de la propriété intellectuelle

Le secteur de la pharmacie est globalement très attaqué. Une étude de Crown Records Management (8) estime qu’un groupe pharmaceutique sur dix est attaqué entre sept et neuf fois chaque année, 8 % plus de treize fois. Les risques sont multiples et concernent notamment les vols de propriété intellectuelle (la perte de confidentialité est un risque particulièrement redouté), le comportement des concurrents, l’intégrité des données, la disponibilité de la chaîne logistique, les virus (la pharmacie est le secteur le plus touché selon l’Annual security report de Cisco (9), avec seulement une entreprise sur trois qui considère avoir un niveau de maturité élevé en sécurité. Les menaces proviennent autant de l’externe que de l’interne

L’étude menée par Best Practices, en juin 2016, auprès de vingt-cinq groupes pharmaceutiques, fournit des résultats relativement en phase avec ce que l’on peut observer de manière globale, tous secteurs confondus. La majorité des entreprises (six dur dix) ont un RSSI, signe que les enjeux sont pris en compte.

De même, on observe une bonne dynamique des investissements : aucune entreprise n’envisage de diminuer les budgets dédiés à la sécurité des SI. Et les utilisateurs sont sensibilisés aux risques (trois entreprises sur quatre), même si les DSI interrogés estiment, à 80 %, que les métiers et les utilisateurs ne comprennent pas les enjeux de sécurité. Quasiment toutes les entreprises interrogées (neuf sur dix) ont déjà réalisé des analyses de risques et de vulnérabilité et, pour sept sur dix, organisé des tests d’intrusion.

L’enquête Best Practices met en exergue cinq points de progrès :

  • Les tableaux de bord sécurité sont encore trop peu répandus (dans seulement quatre entreprises sur dix).
  • La moitié des entreprises n’analysent pas les logs de connexion au système d’information et n’ont pas réalisé de cartographie des informations et des données selon leur degré de sensibilité.
  • Seulement une entreprise sur deux a élaboré une politique de limitation de transferts d’informations stratégiques vers l’extérieur. C’est un réel point faible lorsque l’on connaît l’importance de la propriété intellectuelle dans le secteur pharmaceutique.
  • Il reste une proportion significative d’entreprises (quatre sur dix) qui ne réalisent pas d’analyse de sécurité dans le cadre des nouveaux projets et qui n’intègrent pas les aspects IT dans le dispositif de gestion de crise. Les éléments qui influencent le plus la stratégie de sécurité concernent la règlementation, le cloud, la mobilité et l’entreprise étendue.
  • Enfin, les groupes pharmaceutiques peinent à évaluer le coût des incidents de sécurité dont ils sont victimes : sept sur dix n’effectuent aucune mesure.

Globalement, nous avons demandé aux DSI des groupes pharmaceutiques comment ils situent leur entreprise en matière de sécurité des systèmes d’information, sur une échelle de 1 à 7. La moyenne s’élève à 3,7, une entreprise sur deux se situant au niveau 3 ou en dessous. Un tel positionnement représente probablement la moyenne des entreprises françaises…


(1) Key european IT management trends for 2016, CIOnet.
(2) 2016 IT spending intentions survey, ESG Research Report.
(3) Gartner Research Circle.
(4) Rapport 2015 sur la défense contre les cyber-menaces, CyberEdge Group, Imperva.
(5) Menaces informatiques et pratiques de sécurité en France, édition 2016, Clusif. www.clusif.fr
(6) Repenser la cyber-sécurité, Vanson Bourne, VMware.
(7) The cyber security leap : from laggard to leader, Accenture, 19 pages.
(8) “Survey reveals data breaches hitting pharma industry”, Securing Industry, 7 septembre 2015.
(9) Annual security report 2015, Cisco, 53 pages.

Les freins à l’efficacité des politiques de sécurité des systèmes d’information dans les entreprises françaises
% d’entreprises
2014 2016
Manque de budgets 34 % 42 %
Contraintes organisationnelles 22 % 37 %
Manque de personnel qualifié 16 % 30 %
Manque de connaissances 25 % 26 %
Réticence de la DG et des métiers 19 % 24 %
Réticence de la DSI 2 % 5 %
Source : Clusif.

 


Les cinq lois de la sécurité

  1. Tout système comporte au moins une faille.
  2. Chaque faille est susceptible d’être découverte.
  3. Si une faille est susceptible d’être découverte, elle le sera.
  4. Quiconque a accès à cette faille sera tenté de l’utiliser à son profit.
  5. Si les risques sont faibles, cette faille sera exploitée.

Source : Digitalonomics.


Politique de sécurité : qui est impliqué ?

Ce sont majoritairement les DSI qui sont impliqués dans l’élaboration de la politique de sécurité de l’information des entreprises françaises. D’après le Clusif, la répartition est la suivante, selon les fonctions :

  • DSI : 63 %.
  • DG : 50 % (72 % dans la finance).
  • RSSI : 38 %.
  • DRH : 25 %.
  • Responsable production informatique : 20 %.
  • Direction juridique : 20 %.
  • Audit et contrôle interne : 9 %.
  • Direction de la qualité : 9 %.

Source : Clusif.