Cybersécurité dans la pharma : audit réseau d’un fabricant mondial de médicaments injectables

Cybersécurité dans la pharma : audit réseau d’un fabricant mondial de médicaments injectables

18 Décembre 2025Cyber6 minutes
Linkedin

Lorsqu’un réseau industriel vacille, la production pharmaceutique s’en ressent immédiatement. Nous avons été sollicités pour comprendre, diagnostiquer et fiabiliser un environnement où chaque interruption pouvait compromettre la production d’un médicament vital. Voici comment nos équipes ont mené l’audit réseau d’un leader mondial de la pharma pour restaurer performance, stabilité et cybersécurité.

Lors de coupures réseau impactant ses lignes de production, un acteur mondial de la pharmaceutique a fait appel à DATIVE pour auditer son réseau industriel. L’objectif : détecter les causes potentielles, améliorer la stabilité des communications et renforcer la cybersécurité et la performance de ses infrastructures OT.

environnement production pharmaceutique

Contexte et enjeux d’un réseau critique en environnement pharmaceutique

Dans l’industrie pharmaceutique, la moindre instabilité peut avoir des conséquences bien réelles. Un lot interrompu, un automate déconnecté, une supervision figée… Et c’est toute la chaîne de production qui s’arrête : chaque microseconde compte. Les recettages étant parmi les plus exigeants, ces instabilités peuvent également avoir un impact sur la qualité des lots de produits fini entrainant une perte financière élevée.


La continuité de production, la traçabilité des lots et la conformité réglementaire sont les trois piliers sur lesquels repose la fiabilité d’un site pharmaceutique. Lorsqu’un réseau industriel présente des coupures intermittentes, le risque dépasse la sphère technique. Il devient économique, sanitaire et réglementaire.


Nous le constatons souvent : la convergence IT/OT, nécessaire à la transformation numérique des usines, introduit de nouvelles dépendances et multiplie les points de fragilité. Dans un environnement soumis aux exigences de la directive NIS2, des normes IEC 62443 et aux principes de Data Integrity, une simple anomalie réseau peut compromettre bien plus qu’un signal : elle peut remettre en question la qualité d’un produit destiné aux patients.


C’est dans ce contexte exigeant qu’un fabricant mondial de médicaments injectables nous a contactés.


L’objectif était clair : comprendre l’origine de coupures réseau répétées et restaurer une stabilité durable sur son réseau industriel.

convergence it ot

L’objectif de la mission : Stabiliser, sécuriser et fiabiliser le réseau industriel

Lorsque nous sommes arrivés sur ce site de production de médicaments, les équipes de maintenance faisaient face à des interruptions aléatoires, parfois brèves mais suffisantes pour perturber la production. Ces coupures n’étaient ni localisées ni systématiques, ce qui rendait leur diagnostic particulièrement complexe.


Nous avons donc défini un plan d’actions en trois volets : comprendre les causes, sécuriser les communications et proposer des mesures concrètes pour renforcer la résilience du réseau OT. Les attentes du client étaient précises : disposer d’un diagnostic clair, de recommandations hiérarchisées et d’un plan de renforcement cyber global, sans perturber la production en cours.


Pour cela, nous avons déployé sur site une sonde IDS industrielle. Cet outil, configuré en port mirroring, a permis d’observer le trafic en temps réel sans impacter les opérations, de façon totalement passive. L’analyse a été menée sur plusieurs jours afin de capter les cycles de production et d’obtenir une vision représentative du réseau industriel.

Vous rencontrez des coupures intermittentes ou des instabilités réseau ? Contactez nos experts pour un audit réseau OT

Contact

Notre approche : corréler cybersécurité et performance réseau

Sur le terrain, nous avons d’abord validé la configuration du mirroring et échangé avec les équipes d’automaticiens et de maintenance. Ces échanges sont essentiels pour comprendre les habitudes d’exploitation, les changements récents ou les équipements sensibles.


La sonde IDS a ensuite été positionnée sur la baie réseau industrielle. En quelques heures, elle identifiait déjà près de 200 équipements communicants hétérogènes, révélant la densité et la complexité de l’environnement OT de cette usine pharmaceutique.


Notre méthode repose sur une approche croisée : associer analyse technique, observation comportementale et regard cyber. Nous avons étudié les flux IPv4 et IPv6, mesuré les retransmissions TCP, recherché les comportements anormaux et évalué la cohérence des configurations réseau.


Cette approche permet de corréler des symptômes apparemment distincts (une latence inhabituelle, un port saturé, un automate silencieux) pour comprendre les causes profondes des perturbations.


Nous avons également validé la qualité du trafic via des indicateurs de performance : latence moyenne, perte de paquets, collisions et priorisation des flux (QoS). Enfin, nous avons examiné le dimensionnement des switches et l’équilibrage de charge afin de vérifier que l’infrastructure supportait correctement les volumes générés par la production et les systèmes de supervision.

analyse flux OT

Les constats terrain : des signaux faibles révélateurs de fragilités profondes du réseau industriel

L’analyse détaillée a mis en évidence plusieurs éléments. Pris isolément, ils pouvaient paraître mineurs. Ensemble, ils dessinaient le profil d’un réseau performant mais fragilisé par des configurations hétérogènes.

IPv6 activé sur plusieurs équipements OT

Des flux IPv6 non nécessaires ont été détectés sur plusieurs automates et postes industriels. Cette configuration introduisait un risque de conflits d’adresses et de coupures aléatoires. Nous avons recommandé de désactiver IPv6 sur les équipements ne nécessitant pas ce protocole.

Multi-homing détecté sur plusieurs postes industriels

Certains postes de supervision disposaient de deux adresses IP sur le même réseau. Ce double rattachement provoquait des pertes de paquets et des erreurs de routage. Une configuration normalisée a été préconisée.

Retransmissions et tentatives TCP non acquittées

Des retransmissions de paquets et des connexions incomplètes laissaient penser à des désynchronisations entre automates ou à des changements récents de configuration. Ces anomalies sont souvent invisibles pour les opérateurs mais perturbent la stabilité globale. Nous avons conseillés à notre client de vérifier les configurations des équipements ayant le plus fort taux de retransmission

Alerte « TCP Flood » ponctuelle

Une activité anormale a été détectée sur un automate de remplissage, caractérisée par un envoi massif de paquets TCP. Sans action immédiate, ce type de comportement peut saturer un segment et provoquer des coupures en cascade impactant la chaîne de production.

Énumération Profinet et trames multicast

Nous avons observé des trames Profinet-DCP émises en multicast par un équipement Siemens. Ces trames, bien que légitimes dans certains cas, peuvent devenir envahissantes et impacter la stabilité du réseau. Elles traduisent parfois des tentatives de découverte ou une mauvaise configuration d’automate.

Caméras sur le réseau de production

Plusieurs caméras IP étaient reliées au réseau industriel. Ces équipements, bien que utiles pour la supervision visuelle, généraient un flux vidéo conséquent. Sur des switches sous-dimensionnés, ce trafic provoquait une surcharge temporaire et des pertes de communication. Nous avons recommandé un réseau physique ou virtuel distinct pour isoler ces flux.

Présence d’imprimantes sur le réseau industriel

Certaines imprimantes réseau étaient connectées au réseau de production. Ce type d’équipement augmente inutilement la surface d’attaque et présente des vulnérabilités connues comme PrintNightmare. Nous avons conseillé leur retrait ou leur isolement sur un sous-réseau bureautique.


Ces constats confirment une réalité souvent observée : les perturbations réseau résultent rarement d’une seule cause. Elles naissent d’une accumulation de petits déséquilibres qui, ensemble, fragilisent la performance globale du process industriel.

Faites analyser vos infrastructures OT avant que les signaux faibles ne deviennent des incidents critiques

Contact

Recommandations : améliorer la performance industrielle et renforcer la résilience

Nous avons structuré nos recommandations selon trois horizons : court, moyen et long terme, pour permettre un déploiement cyber progressif et maîtrisé.

Court terme :

  • Désactivation d’IPv6 sur les équipements ne l’exigeant pas,
  • Correction des postes multi-homing et nettoyage des flux anormaux,
  • Filtrage du trafic multicast et isolation des caméras sur un VLAN ou réseau dédié,
  • Remplacement de certains switchs non-manageables pour des switchs manageables.

Moyen terme :

  • Définition d’une politique QoS pour prioriser les flux de production par rapport aux flux secondaires,
  • Revue des règles pare-feu et limitation du nombre de connexions simultanées autorisées,
  • Sensibilisation des équipes maintenance aux bonnes pratiques de configuration réseau OT.

Long terme :

  • Mise en place d’un monitoring réseau en temps réel avec corrélation IT/OT,
  • Segmentation logique complète entre les zones de production, de supervision et d’administration,
  • Intégration du client dans notre SOC IT/OT pour une détection et une réponse rapide aux incidents,
  • Développement d’une gouvernance réseau documentée, avec audits réguliers et capitalisation sur les incidents.

Ces actions combinées permettent non seulement d’améliorer la stabilité immédiate du réseau, mais aussi d’inscrire la sécurité et la performance dans une démarche continue. La résilience devient alors un réflexe opérationnel.

segmentation reseau OT

Résultats : un réseau plus fiable, une cybersécurité renforcée


À l’issue de notre accompagnement, les résultats ont été tangibles.


Les coupures intermittentes ont disparu. Les taux de retransmission TCP se sont stabilisés. Les communications entre automates et supervision sont désormais fluides et prévisibles.


Le réseau a retrouvé sa stabilité, mais surtout sa visibilité : chaque flux, chaque dépendance est aujourd’hui connu et maîtrisé.


Les équipes de maintenance, initialement confrontées à des anomalies difficiles à interpréter, disposent désormais d’indicateurs clairs et d’un cadre de supervision consolidé. Cette amélioration de la performance a naturellement renforcé la cybersécurité du site. Car un réseau maîtrisé est un réseau plus sûr.

Conclusion

En identifiant les signaux faibles avant qu’ils ne deviennent critiques, l’audit réseau mené par DATIVE a permis à ce géant pharmaceutique de restaurer une stabilité essentielle à sa production.

Cybersécurité et performance ne s’opposent pas. Elles se complètent et s’enrichissent mutuellement. Dans un environnement où chaque lot compte, garantir la continuité et la sécurité du réseau industriel, c’est garantir la confiance dans le médicament lui-même.

Vous rencontrez des instabilités réseau ou des anomalies dans vos environnements OT ? Contactez les experts DATIVE pour un diagnostic complet alliant performance, fiabilité et cybersécurité industrielle.

Contact
News

Nos actualités

Inventaire, cartographie et analyse de flux pour un leader de la viennoiserie industrielle
Cybersécurité
Inventaire, cartographie et analyse de flux pour un leader de la viennoiserie industrielle

Pour renforcer la cybersécurité et fiabiliser son réseau de production OT, un acteur majeur de l’agroalimentaire basé en région Auvergne-Rhône-Alpes a fait appel à DATIVE. Objectif : inventorier les équipements connectés, cartographier le réseau industriel et analyser les communications critiques pour renforcer la cybersécurité et la résilience de ses infrastructures OT

En savoir plus
Analyse de risques EBIOS RM : sécuriser la cybersécurité industrielle dans l’aéronautique
Cybersécurité
Analyse de risques EBIOS RM : cybersécurité industrielle dans l’aéronautique

Dans un secteur aussi critique que l’aéronautique, la cybersécurité industrielle est un enjeu stratégique majeur. Les systèmes OT, essentiels à la production, sont aujourd’hui exposés à des menaces cyber de plus en plus sophistiquées. À travers une analyse de risques basée sur la méthode EBIOS RM, DATIVE a accompagné un acteur majeur de l’aéronautique pour structurer une stratégie de cybersécurité robuste, conforme aux exigences réglementaires, tout en garantissant la continuité de sa production.

En savoir plus
Cybersécurité dans le traitement de l’eau : évaluation de cybersécurité des STEP et renforcement de leurs résilience OT
Cybersécurité
Cybersécurité dans le traitement de l’eau : évaluation de cybersécurité des STEP et renforcement de leurs résilience OT

Une collectivité de Savoie opérant une vingtaine de stations d’épuration (STEP) a mandaté nos experts DATIVE pour une évaluation de cybersécurité industrielle. Objectif : identifier les vulnérabilités OT, sécuriser l’infrastructure et bâtir un plan d’action robuste pour renforcer la résilience face aux cybermenaces.

En savoir plus
Sécurisation d’un site agroalimentaire : déploiement d’un scellement de poste avec TXOne Stellar Protect
Cybersécurité
Sécurisation d’un site agroalimentaire : déploiement d’un scellement de poste avec TXOne Stellar Protect

Face à de nouveaux enjeux cyber, un industriel agroalimentaire au nord de Paris renforce la sécurité de ses postes critiques grâce au scellement TXOne Stellar Protect, déployé par nos experts DATIVE Cybersécurité.

En savoir plus
La défense en profondeur : un principe de sûreté nucléaire devenu un pilier pour la cybersécurité industrielle
Cybersécurité
La défense en profondeur : un principe de sûreté nucléaire devenu un pilier pour la cybersécurité industrielle

Née dans le domaine de la sûreté nucléaire pour éviter tout accident majeur, la défense en profondeur est aujourd’hui un concept fondamental de la cybersécurité industrielle. Elle repose sur l’idée de couches successives de protection, appliquées aux environnements critiques, pour assurer résilience, sécurité et continuité d’activité

En savoir plus
Voir toutes nos actus