Les cyberattaques se sont multipliées dans le secteur pharmaceutique au fil des ans. C’est au tour de la montréalaise Pharmascience d’être la cible d’un tel acte. Si sa production de médicaments ne semble pas avoir été perturbée, l’évènement rappelle la fragilité de la chaîne d’approvisionnement en médicaments au pays.

La Presse révélait mercredi que la plus importante société pharmaceutique de propriété canadienne, Pharmascience, avait été la cible d’une cyberattaque dans les dernières semaines. L’entreprise confirmait avoir découvert une intrusion dans son système informatique le 1er juin dernier, mais refusait de détailler l’ampleur et la durée de l’attaque.

Le fabricant montréalais de médicaments génériques – qui offre plus de 1400 produits – n’a pas voulu confirmer s’il y a eu demande ou paiement d’une rançon, ou encore si des données ont été volées.

La société assure avoir réagi rapidement en faisant appel à des experts en cybersécurité, ce qui a permis de « sécuriser » les systèmes informatiques. « Depuis, nous avons repris nos activités de manière sûre et efficace », lit-on dans le courriel qui nous a été envoyé.

PHOTO MARTIN CHAMBERLAND, ARCHIVES LA PRESSE

La Presse révélait mercredi que la plus importante société pharmaceutique de propriété canadienne, Pharmascience, avait été la cible d’une cyberattaque dans les dernières semaines.

N’empêche, dans l’industrie, la nouvelle de la cyberattaque chez Pharmascience n’est pas sans rappeler la fragilité potentielle de la chaîne d’approvisionnement en médicaments, en cas de ralentissement ou d’arrêt de la production chez un fabricant.

« Peu importe les raisons pour lesquelles une usine ou une partie d’une usine doit ralentir ou arrêter sa production, ça crée un effet de cascade assez rapidement sur l’ensemble de la chaîne d’approvisionnement », dit le président de l’Association québécoise des pharmaciens propriétaires, Benoit Morin, qui concède ne pas avoir été au courant de l’incident.

Une baisse de production de médicaments génériques chez un fabricant, explique-t-il, exerce inévitablement une pression sur les autres manufacturiers qui offrent des molécules similaires.

Mais les autres fournisseurs ont eux aussi une quantité limitée de produits. Finalement, tout cela peut mener à une rupture de stock.

Benoit Morin, président de l’Association québécoise des pharmaciens propriétaires

La chaîne d’approvisionnement en médicaments est d’autant plus fragile que peu de molécules sont entreposées. La production pharmaceutique s’inscrit dans ce qu’on appelle le juste-à-temps (just in time), une méthode de gestion qui réduit au minimum l’intervalle entre le moment de la production et le moment de la vente.

« Donc, il n’y a pas de réserve énorme de médicaments ni dans les pharmacies ni chez les grossistes ou les fabricants », explique Benoit Morin. « On le constate lorsqu’il y a une simple augmentation de la demande pour un produit ; la pression se fait sentir. »

L’Association canadienne du médicament générique – qui représente les fabricants comme Pharmascience – a refusé la demande d’entrevue de La Presse pour mieux comprendre les questions liées à la sécurité informatique dans le secteur.

« La résilience de la chaîne d’approvisionnement en médicaments génériques du Canada a été démontrée au cours de la pandémie de COVID-19, lorsque les fabricants ont été en mesure de protéger notre approvisionnement en médicaments d’ordonnance », a-t-elle écrit dans une courte déclaration envoyée par courriel.

Diverses cyberattaques

N’empêche, au cours des dernières années, les cyberattaques se sont multipliées dans l’industrie. Le géant indien du générique Sun Pharma – présent au Canada depuis 2015 – a découvert une faille à l’hiver 2023. En juin de la même année, la japonaise Eisai a été la cible d’une attaque et a dû fermer ses systèmes informatiques à l’échelle mondiale.

L’allemande Evotec et le groupe suisse Novartis ont également subi des cyberattaques dans les dernières années.

Il y a deux semaines, La Presse révélait que les données médicales et personnelles de patients d’Innomar Strategies – important gestionnaire canadien de programmes de soins liés à des médicaments de spécialité – avaient été volées à la suite d’une intrusion dans le système informatique de la société mère, Cencora.

À la fin d’avril, c’est la chaîne de pharmacies London Drugs qui a dû fermer 79 magasins dans l’ouest du pays – Alberta, Colombie-Britannique, Manitoba et Saskatchewan – à la suite d’une attaque informatique.

En fait, le nombre de brèches informatiques dans l’industrie aurait augmenté de 67 % entre 2014 et 2021, selon un rapport de Fortinet, une entreprise de cybersécurité. La même étude constate que plus de la moitié (53 %) des entreprises pharmaceutiques et biotechnologiques auraient déjà été, d’une façon ou d’une autre, victimes d’activités informatiques malveillantes.

Que le secteur pharmaceutique soit une cible de choix pour les cyberattaques ne surprend pas Éric Parent, expert en cybersécurité et PDG d’EVA Technologies : « Ce sont des entreprises qui ont beaucoup d’informations et surtout beaucoup d’argent, donc qui sont susceptibles de payer des rançons. Vous allez où l’argent et les informations sensibles se trouvent. »

Le spécialiste estime que les dirigeants d’entreprises ont encore trop souvent une vision à court terme. « Il y a encore dans l’industrie des compagnies qui font affaire avec des sous-traitants pour leur volet informatique. Et parmi ces sous-traitants, pour être rentables, il y en a qui offrent le minimum de service pour le maximum de facturation », conclut-il.