Synthèse par secteur d’activité
Analyse 2024 des communications de contenu sensible dans l’industrie pharmaceutique : les tendances en matière de sécurité et de conformité
Chiffres Clés
Outils de communication utilisés
11%
Plus de 7
6%
6
11%
5
22%
4
28%
3
11%
2
0%
1
Échange de contenu sensible avec des tiers
6%
Plus de 5 000
17%
2 500 à 4 999
22%
1 000 à 2 499
17%
500 à 999
39%
Moins de 499
Types de données les plus préoccupantes (Top 3)
60%
Échanges juridiques
55%
Documents financiers
40%
LLMs de GenAI
40%
Fusions & Acquisitions
30%
PHI
30%
CUI et FCI
25%
PII
20%
PI
Top 2 des priorités sur la confidentialité et la conformité
61%
RGPD
56%
CMMC
39%
Lois des États américains
39%
Exigences SEC
33%
HIPAA
17%
Lois propres à chaque pays
6%
PCI DSS
Top 2 des certificats de sécurité les plus importants
67%
ISO 27001, 27017, 27018
44%
NIST 800-171/CMMC 2.0
39%
SOC 2 Type II
33%
IRAP (Australie)
11%
FedRAMP Moderate
6%
Directive NIS 2
Nombre de piratages des communications de contenu sensible
0%
Plus de 10
22%
7 à 9
6%
4 à 6
39%
2 à 3
11%
1
22%
Ne sait pas
Le rapport Kiteworks 2024 sur la confidentialité et la conformité des communications de contenu sensible fournit une analyse détaillée des problématiques et des pratiques dans différents secteurs d’activité, et notamment pour l’industrie pharmaceutique. Ce brief reprend les principales conclusions du rapport concernant l’industrie pharmaceutique; outils utilisés pour échanger des données sensibles, problèmes de cybersécurité, risques dans les échanges avec des tiers, menaces spécifiques et conséquences sur la conformité règlementaire.
Gestion de tous les outils de communication de contenu sensible
28 % des entreprises de l’industrie pharmaceutique utilisent au moins cinq outils de communication pour envoyer et partager des contenus sensibles, soit environ la moitié de l’ensemble de la cohorte (53 %). 56 % d’entre elles déclarent pouvoir suivre et contrôler les données sensibles envoyées et partagées en interne, et 44 % lorsqu’elles sont échangées en externe. Ces deux chiffres sont légèrement supérieurs aux moyennes de l’ensemble des répondants, qui sont respectivement de 51 % et 43 %.
La prévention des fuites de propriété intellectuelle et de secrets d’entreprise (56 %) et le fait d’éviter des sanctions pour non-conformité (50 %) arrivent en tête des priorités de l’industrie pharmaceutique pour les communications de contenus sensibles. Ces chiffres correspondent largement à la moyenne de l’ensemble des répondants (56 % et 48 %), bien qu’ils aient cité l’atténuation des litiges longs et coûteux comme leur deuxième priorité (51 %). Compte tenu de l’importance de la propriété intellectuelle et de la conformité réglementaire pour ce secteur, ces résultats n’ont rien de surprenant. En revanche, l’impact négatif sur leur image de marque les préoccupe davantage que les autres secteurs d’activité : 39 % contre 15 % pour l’ensemble de la cohorte.
Évaluer le risque tiers pour les contenus sensibles
Par rapport à l’ensemble des répondants (39 %), seuls 23 % des répondants de l’industrie pharmaceutique déclarent échanger des données sensibles avec plus de 2500 interlocuteurs différents, et 45 % avec plus de 1000 contre 66 % de la cohorte. La moitié des laboratoires pharmaceutiques interrogés indiquent pouvoir suivre et contrôler plus des trois quarts des contenus sensibles qui quittent une application. Ce chiffre est nettement inférieur à celui de l’ensemble des répondants (61 %).
Évaluer le niveau de conformité pour les contenus sensibles
Le rapport Kiteworks 2024 sur la confidentialité et la conformité des communications de contenu sensible fournit une analyse détaillée des problématiques et des pratiques dans différents secteurs d’activité, et notamment pour l’industrie pharmaceutique. Ce brief reprend les principales conclusions du rapport concernant l’industrie pharmaceutique; outils utilisés pour échanger des données sensibles, problèmes de cybersécurité, risques dans les échanges avec des tiers, menaces spécifiques et conséquences sur la conformité règlementaire.
Le secteur pharmaceutique a cité le RGPD en tête des règlementations sur la protection des données personnelles (61 %). Il est intéressant de noter que la CMMC 2.0 arrive juste derrière avec 56 %. C’est plus que l’ensemble des répondants (41 % et 25 % respectivement).
En ce qui concerne les normes et certificats de sécurité, l’industrie pharmaceutique est l’un des secteurs ayant le plus cité les normes ISO 27001, 27017 et 27018 comme priorité absolue (67 % dans le top 3). Les autres normes et certificats de sécurité sont nettement moins nombreux : NIST 800-171 (44 %) et SOC 2 Type II (39 %).
Évaluer les risques liés à la sécurité des contenus sensibles
Tous les répondants issus de l’industrie pharmaceutique ont déclaré que leur management des risques associés aux communications sensibles devait être amélioré de manière significative ou partielle. Cela contraste avec d’autres domaines où certains répondants estimaient qu’il n’y avait aucune amélioration à apporter.
Contrairement aux autres, aucun répondant du secteur pharmaceutique n’a indiqué que son organisation avait subi au moins 10 violations de données. 22 % ont tout de même déclaré avoir subi entre sept et neuf violations de données. Par rapport à d’autres secteurs et à la moyenne des répondants (32 % ont subi sept violations ou plus), l’industrie pharmaceutique s’en sort mieux.
Les outils de sécurité avancés (chiffrement, authentification multifactorielle, suivi et contrôle de la gouvernance) ne sont que partiellement utilisés par 39 % des répondants de l’industrie pharmaceutique. Soit le même pourcentage que l’ensemble des personnes interrogées.
Évaluer le coût de la sécurité et de la conformité
Si le secteur pharmaceutique ne subit pas autant de violations de données que d’autres segments de l’industrie, une certaine partie doit faire face à des coûts de contentieux plus élevés ; 17 % ont déclaré dépenser plus de 7 millions de dollars par an. Mais dans l’ensemble, le montant des litiges pour les industriels du secteur pharmaceutique suite à des violations de données est inférieur à la moyenne de tous les secteurs.
Connaissance et classification des types de données
Les répondants du secteur pharmaceutique sont moins nombreux à indiquer étiqueter et classer les données non structurées que les autres secteurs industriels (39 % ont indiqué étiqueter et classer environ les trois quarts des données). À titre de comparaison, 48 % de l’ensemble des personnes interrogées ont déclaré que leur organisation procédait de la sorte. Compte tenu des volumes de données générés par l’industrie pharmaceutique, on aurait pu s’attendre à mieux.
Étonnamment, ils sont 60 % à estimer nécessaire l’étiquetage et la classification de plus de la moitié des données non structurées, c’est plus que dans la plupart des autres secteurs d’activité (50 %). Cela fait apparaître une lacune que les entreprises pharmaceutiques vont probablement chercher à corriger.
Urgence absolue à protéger les contenus sensibles dans l’industrie pharmaceutique
Le rapport Kiteworks 2024 souligne l’importance de la gestion des risques et de la conformité pour les communications de contenu sensible dans l’industrie pharmaceutique. Les échanges juridiques (60 %) et les documents financiers (55 %) ont été cités par les répondants comme les deux types de données les plus exposés. La propriété intellectuelle a obtenu un score assez faible (20 %), un chiffre que l’on s’attendrait à voir beaucoup plus élevé.
En pratique, les répondants passent beaucoup de temps à compiler les journaux d’audit générés par les nombreux outils de communication de contenus sensibles. 33 % doivent en réconcilier plus de 11 (contre 48 % en moyenne), et 11 % ne savent même pas combien il y en a. Les entreprises du secteur pharmaceutique s’en sortent toutefois un peu mieux que les autres ; 17 % d’entre elles y consacrent au moins 2 500 heures par an et 6 % plus de 2000 heures. Au total, 40 % des entreprises consacrent plus de 1 500 heures par an (contre 62 % pour l’ensemble de la cohorte).