Numérisation pharmaceutique: assurer la sécurité industrielle

Les fabricants pharmaceutiques transforment actuellement leurs opérations par la digitalisation dans le but de donner un coup de fouet à leur compétitivité.

L’accès à davantage de données et à des architectures de commande plus simples peut, pour certains, améliorer les délais de transition et amener la production vers l’excellence opérationnelle. Pour d’autres, un système MES moderne permet d’augmenter le nombre de lots traités de plus de 50 %, ou de dématérialiser complètement.

Nous verrons probablement cette tendance se poursuivre au fur et à mesure que les nouvelles réglementations, telles que les législations anti-contrefaçon, poussent davantage de fabricants pharmaceutiques à adopter des opérations connectées et basées sur des données.

Mais la numérisation dans le secteur pharmaceutique ne peut pas être débattue sans aborder la question de la sécurité industrielle. Déjà aujourd’hui, de nombreux laboratoires pharmaceutiques craignent qu’une plus grande connectivité ne mette en danger leurs droits de propriété industrielle et d’autres informations sensibles, et aussi que des éléments extérieurs ne viennent perturber la production dans des proportions risquant de compromettre la qualité des produits.

Bien que ces inquiétudes soient tout à fait fondées, elles ne doivent pas stopper vos plans de digitalisation. En suivant les meilleures pratiques reconnues et en exploitant les ressources industrielles, vous pouvez renforcer votre stratégie en matière de sécurité industrielle et mieux protéger vos secrets commerciaux, vos opérations et vos produits.

Pas de solution miracle

Il n’existe pas une technologie ou technique de sécurité unique qui puisse protéger les opérations pharmaceutiques de toutes les menaces.

On s’attend à ce qu’une banque fasse plus que simplement verrouiller ses portes pour protéger non seulement ses fonds mais également ses données sensibles telles que les informations financières sur les clients. Alors pourquoi un laboratoire pharmaceutique connecté – valant des millions, voire des milliards de dollars – ne devrait-il pas aussi adopter une approche multiforme concernant la protection de ses biens physiques et numériques ?

C’est la logique qui sous-tend le concept de défense en profondeur. Elle suppose que n'importe quel point de protection peut être menacé et le sera probablement, et pour cela elle fait appel à de multiples couches de protection. L’approche sécuritaire recommandée par les normes CEI 62443 (ISA99) appelle à déployer des mesures de protection sur les six niveaux suivants :

1. Politiques et procédures
2. Physique
3. Réseau
4. Ordinateur
5. Application
6. Dispositif

Une ordonnance pour le secteur pharmaceutique

À l’occasion du salon 2016 Automation Fair^® organisé par Rockwell Automation, Jim LaBonty, directeur automatisation internationale pour Pfizer Global Engineering, s’est exprimé sur le déploiement d’une sécurité complète dans les opérations pharmaceutiques.

1. LaBonty a expliqué que son entreprise utilisait des zones de sécurité, divisées par des pare-feux construits sur mesure, pour protéger les biens de l’entreprise les uns des autres. Il a aussi indiqué que l’entreprise séparait les anciens équipements des nouveaux systèmes et dispositifs, et qu’il fallait bien faire une distinction entre les équipes d’automatisation et les équipes informatiques.

« La sécurité est gagnante lorsque les fonctions et les responsabilités sont clairement définies, et que les différents acteurs doivent communiquer entre eux », a-t-il déclaré.

1. LaBonty s’est aussi exprimé sur l’utilisation de logiciels capables d’analyser les modes de circulation sur le réseau. Les logiciels de détection d’anomalies, par exemple, peuvent surveiller passivement le trafic entre les équipements industriels du réseau et analyser les communications à leur niveau le plus profond. Les anomalies décelées peuvent être rapportées aux services de sécurité ou autre service afin d'appuyer de manière efficace le travail d’investigation, d’intervention ou de récupération.

La mise en œuvre d'une zone industrielle démilitarisée est une autre mesure sécuritaire phare dans le secteur pharmaceutique. Elle instaure une barrière entre les zones de production et de l’entreprise, qui limite le trafic transitant directement entre elles. Le logiciel d’authentification, d’autorisation et de responsabilisation peut aussi restreindre l’accès à votre réseau et les actions possibles, et aussi fournir un journal d’audit complet de ces actions.

Symptômes d’anxiété ?

Les menaces pesant sur la sécurité industrielle peuvent être vite insurmontables ou anxiogènes. Parfois, on ne sait même pas par où commencer. Ne vous inquiétez pas. Il existe d’abondantes ressources à votre disposition pour vous aider, notamment les suivantes :

• Les architectures de référence Ethernet convergentes pour l'usine donnent des conseils pour créer les architectures réseau du futur tout en abordant la question des risques pour la sécurité.
• Les stages de formation et de certification fournissent à votre personnel IT et OT les compétences nécessaires pour gérer et administrer de manière sécurisée les systèmes de commande industrielle en réseau.
• Les services de sécurité vous aident à mener des évaluations de la sécurité et à déployer de nouvelles technologies, voire à gérer des aspects de votre programme de sécurité de manière continue.

Pour en savoir plus sur ces ressources, visitez notre page Internet industrial-security.

Automation Fair est une marque commerciale de Rockwell Automation Inc.