L'automne dernier, une petite entreprise dont personne n'avait jamais entendu parler gardait Josh Corman éveillé la nuit. C'était l'un des seuls groupes au monde à fabriquer un ingrédient dont les sociétés pharmaceutiques comme Moderna et Pfizer / BioNTech avaient besoin pour fabriquer les vaccins à ARNm COVID-19. Et il n'a pas employé un seul expert en cybersécurité.

Corman est conseiller principal de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et, au cours de la dernière année, il a travaillé au sein d'un groupe de travail au sein de l'agence axé sur la protection de la chaîne d'approvisionnement du vaccin COVID-19 contre les cybermenaces. Les organisations de santé ont été parmi les plus grandes victimes des vagues croissantes de cyberattaques au cours des dernières années, et pendant la pandémie, elles ont été une cible encore plus importante.

Les vaccins COVID-19 n'ont pas été piratés : ce groupe de travail est l'une des raisons pour lesquelles

Ce qui inquiétait Corman, ce n'étaient pas des endroits comme Pfizer et Moderna. Ces grandes entreprises de marques renommées emploient toutes des experts internes en cybersécurité. Il s'inquiétait des entreprises comme celle qui fabriquait un ingrédient d'ARNm : de petits groupes anonymes qui faisaient des morceaux essentiels pour les vaccins, mais qui n'auraient peut-être jamais pensé qu'ils auraient besoin de se protéger contre une campagne de piratage.

« Vous pourriez éternuer sur cette seule entreprise et elle serait perturbée. »

« Vous pourriez éternuer sur cette seule entreprise et elle serait perturbée. Et s'ils étaient perturbés, nous vivrions dans un monde très différent en ce moment parce qu'ils étaient si essentiels pour ces candidats à l'ARNm », a déclaré Corman.

Au cours de l'année écoulée, le groupe de travail a retrouvé des centaines d'entreprises similaires essentielles au développement, à la production et à la distribution de vaccins COVID-19 aux États-Unis. Il leur a proposé de les aider à vérifier les lacunes de leurs réseaux numériques, de leur donner des ressources pour améliorer leur préparation et de les aider à réagir à tout incident. Une cyberattaque sur l'un d'entre eux aurait pu ralentir les efforts de vaccination, gardant les tirs hors de portée plus longtemps – au prix de gros pour la santé du pays, dit Corman. « Nous voulions nous assurer que nous n'avions pas de retards à cause de la cybersécurité. »

Recréer la chaîne d'approvisionnement

L'approche américaine du développement du vaccin COVID-19 s'est déroulée dans le cadre de l'opération Warp Speed ​​– un projet de 10 milliards de dollars qui impliquait des partenariats entre des sociétés biomédicales et diverses agences du gouvernement fédéral, notamment la Food and Drug Administration, le ministère de la Défense et le ministère de la Santé. et Services à la personne. Il a financé le développement de candidats vaccins dans des sociétés comme Moderna et Johnson & Johnson et était en contact étroit avec d'autres personnes impliquées dans la fabrication et la distribution.

« L’opération Warp Speed ​​est généralement décrite comme étant autour des 30 plus grandes entreprises liées aux vaccins – recherche, livraison et jusqu’à l’expédition vers les États », explique Beau Woods, conseiller principal à CISA travaillant sur le groupe de travail COVID-19.

La CISA était l'une des autres agences fédérales impliquées dans l'opération Warp Speed. Il fait partie du Department of Homeland Security et est chargé d'assister à la fois le gouvernement et le secteur privé sur les questions de cybersécurité. Parallèlement à la réponse au COVID-19, il a passé 2020 à travailler sur la sécurité de l'élection présidentielle.

Au cours de l'opération Warp Speed, CISA a été invité à contribuer à la sécurité des 30 principaux joueurs. « CISA a la capacité de fournir des services de protection, de prévention et d'intervention aux infrastructures critiques désignées. Toute personne figurant sur cette liste était évidemment prioritaire », a déclaré Corman.

Il y avait plus d'entreprises impliquées dans le processus de développement, de production et de distribution de vaccins que celles de cette liste

Mais il y avait plus d'entreprises impliquées dans le processus de développement, de production et de distribution de vaccins que celles figurant sur cette liste. Chacune de ces quelque 30 entreprises a sa propre chaîne d'approvisionnement, dit Woods. Les groupes qui composent ces chaînes d'approvisionnement auraient également besoin de protection.

Lorsque Corman a commencé à travailler sur les efforts de réponse au COVID-19 dans le cadre du groupe de travail au sein de la CISA, ces entreprises n'avaient pas encore été identifiées. Personne ne savait qui ils étaient. « J'ai demandé quels sont ces joueurs plus petits et moins évidents qui, s'ils sont perturbés, signifient qu'il n'y a pas de vaccin ? Et personne n'avait de réponse », dit Corman.

Corman a travaillé avec des collègues comme Michelle Holko, une spécialiste de l'innovation présidentielle qui a travaillé avec le groupe de travail, et Reuven Pasternak, un autre conseiller principal de CISA qui est également médecin, pour développer une rubrique qui les aiderait à identifier ces joueurs. Ils ont recherché des entreprises fabriquant des produits qui étaient rares ou difficiles à remplacer et des entreprises fabriquant des produits dont les groupes fabriquant les vaccins étaient fortement dépendants. Le groupe a demandé aux partenaires internationaux de leur envoyer les noms de tous les groupes qui pourraient également être importants pour le processus de développement du vaccin.

«Nous avons identifié des personnes qui n'ont jamais été nominées, mais qui ont atteint le sommet. Ce sont quelques-uns des maillons faibles les plus importants de la chaîne », a déclaré Corman.

La liste était dynamique - au début du processus, elle se concentrait sur les groupes impliqués dans la recherche et le développement de vaccins. Ensuite, il s'est déplacé vers des entreprises travaillant avec la fabrication et la distribution des plans. Globalement, le groupe a identifié des centaines d'entreprises impliquées dans le processus qui auraient pu présenter des risques.

« Beaucoup d'entre eux sont plus petits. Dans certains cas, ils comptaient moins de 100 personnes et n'avaient peut-être pas traditionnellement examiné les menaces de cybersécurité », explique Woods. Parce qu'ils étaient impliqués dans le processus de vaccination, ils étaient la cible des pirates informatiques, mais ils n'avaient pas le savoir-faire pour se protéger contre les menaces. « C’est là-dessus que nous nous sommes concentrés », dit-il.

Efforts de sensibilisation

Après avoir dressé cette liste d'entreprises qui pourraient être des cibles potentielles de cyberattaques, le groupe de travail a commencé à contacter chacune d'entre elles pour offrir ses services. Une grande partie de ces premières conversations impliquait de s'assurer que les entreprises comprenaient que le groupe n'était pas un organisme de réglementation mais venait simplement pour offrir un service, explique Steve Luczynski, chef du groupe de travail CISA COVID-19. « Tout le monde est inquiet lorsque le gouvernement appelle », dit-il.

« Tout le monde est inquiet lorsque le gouvernement appelle. »

Mais après avoir entendu ce que le groupe offrait – aide à comprendre les vulnérabilités, alertes sur les menaces possibles et autres conseils – de nombreuses entreprises étaient impatientes d'utiliser leurs ressources, dit Woods. "Dans quelques cas, les organisations sont revenues et ont dit:" Hé, nous avons vu quelque chose, nous pensons que nous y sommes arrivés à temps – mais nous aimerions que vous vérifiiez simplement "", dit-il.

La société d'informatique de santé et de dossiers de santé électroniques Cerner était l'un des groupes qui ont travaillé avec la CISA et le groupe de travail. Cerner a aidé à la planification, à l'inventaire et au suivi des doses pour les organisations administrant les vaccins, et ses dossiers de santé électroniques contenaient des données sur les personnes recevant les injections. Kevin Hutchinson, responsable des opérations de cybersécurité de Cerner, avait initialement inscrit l'entreprise pour des alertes de sécurité auprès de CISA. Le groupe de travail CISA a ensuite pris contact pour participer à leurs autres programmes. "Compte tenu de l'empreinte de Cerner, ils étaient vraiment ravis de nous avoir à bord", a déclaré Hutchinson à The Verge.

L'équipe CISA a examiné les protocoles de sécurité existants de Cerner, qui étaient déjà solides. "C'était une bonne tape dans le dos que nous faisions des choses que nous devrions être", dit Hutchinson.

Cerner rencontre également régulièrement une douzaine des plus grands systèmes hospitaliers qui utilisent ses services pour parler de sécurité, et une poignée de ces groupes utilisaient également les services de CISA. De nombreux hôpitaux n'ont pas le financement d'une équipe de sécurité dédiée. « Ils avaient mentionné à quel point cela avait été précieux pour eux », dit Hutchinson.

Le groupe de travail a été en mesure d'offrir des services tels que l'analyse des systèmes d'entreprise pour les vulnérabilités de cybersécurité et des outils de cyberintelligence personnalisés, a déclaré Woods. Mais l'une des parties les plus importantes de la sensibilisation consistait simplement à créer une relation avec l'entreprise afin que CISA puisse rapidement relayer toute information importante. "Une partie de cela consiste simplement à établir cette confiance, de sorte que lorsqu'ils décrochent le téléphone, ils sachent qui vous êtes", dit-il.

"Une partie de cela consiste simplement à établir cette confiance, de sorte que lorsqu'ils décrochent le téléphone, ils sachent qui vous êtes."

Grâce à ces relations, le groupe de travail et CISA ont aidé les entreprises à répondre aux cybermenaces au cours de l'année écoulée. Les menaces comprenaient une campagne de phishing visant le système de transport de vaccins de la chaîne du froid et le piratage SolarWinds, qui ciblait les agences gouvernementales américaines. Aucun n'a eu d'impact majeur sur le processus de développement et de distribution des vaccins. « Nous avions ces bonnes relations. Nous savions qu'il s'agissait de la personne à appeler, et voici l'e-mail à envoyer lorsque ces événements se produisent », explique Luczynski.

Ces connexions pourraient perdurer dans le futur et aider les établissements de santé à gérer les menaces de cybersécurité. "Je suis heureux de voir un plus grand engagement entre le CISA et les soins de santé, et j'espère vraiment que cela se poursuivra", a déclaré Woods.

Le travail que le groupe de travail a effectué sur la chaîne d'approvisionnement en vaccins pourrait également être un modèle pour d'autres projets à l'avenir, dit-il. « Souvent, lorsque le gouvernement travaille avec le secteur privé, il est le plus engagé dans les grandes organisations parce qu'il n'a pas de liens avec les plus petites », explique Woods. Ce travail a montré que, bien souvent, les domaines les plus risqués sont en fait les petites organisations.

Jusqu'à présent, le processus de développement et de distribution du vaccin COVID-19 n'a été retardé par aucune cyberattaque. Luczynski dit que le groupe de travail ne peut pas s'attribuer tout le mérite - il est difficile de dire avec certitude si son travail était la raison pour laquelle il n'y avait pas de problèmes majeurs. Mais il pense que cela a fait une différence. « Je suis convaincu que nous avons contribué à améliorer les choses. »