Que s’est-il passe ?
En janvier 2025, une entreprise pharmaceutique de taille moyenne du nord-ouest de la Suisse a ete victime d’une attaque ransomware qui s’est produite via un acces VPN compromis. L’entreprise, qui souhaite rester anonyme pour des raisons de reputation, produit des principes actifs et des generiques pour le marche europeen et emploie environ 350 collaborateurs.
L’attaque a commence par la compromission des identifiants VPN d’un prestataire informatique externe responsable de la maintenance des systemes de controle de production (SCADA/OT). Les attaquants ont utilise les identifiants voles pour se connecter directement au reseau de l’entreprise via le VPN — sans qu’une authentification multifacteur ne soit active.
Sur une periode de plusieurs jours, les attaquants ont cartographie la topologie du reseau, identifie les systemes de production critiques et exfiltre des donnees confidentielles — y compris des formules, de la documentation GMP et des donnees de patients issues d’etudes cliniques. Le 10 janvier 2025, ils ont declenche le chiffrement.
La consequence a ete devastatrice : toutes les lignes de production etaient a l’arret. Les systemes de controle de la production en salle blanche, les systemes d’assurance qualite et le systeme ERP etaient chiffres. La reprise de la production n’a ete possible qu’apres une reinstallation complete et une revalidation des systemes conformes aux BPF — un processus particulierement long dans l’industrie pharmaceutique.
Qui a ete touche ?
- 350 collaborateurs, dont plus de 200 dans la production ont du etre temporairement mis au chomage technique
- Hopitaux et pharmacies en Suisse et dans l’UE dependant de livraisons regulieres de medicaments
- Patients dont l’approvisionnement en medicaments etait menace
- Fournisseurs de matieres premieres dont les livraisons ont du etre annulees ou reportees
- Le prestataire informatique externe dont les identifiants compromis ont permis l’attaque
- Swissmedic, qui a du etre informe de l’arret de production en tant qu’autorite de surveillance
Fait particulierement critique : deux des principes actifs produits figuraient sur la liste des medicaments essentiels a l’approvisionnement de la Confederation.
Quelle a ete l’ampleur des dommages ?
Le dommage total de CHF 8,5 millions se decompose comme suit :
- Arret de production (17 jours) : CHF 4,2 mio.
- Restauration IT et revalidation : CHF 1,8 mio.
- Reponse aux incidents et forensique : CHF 650 000
- Penalites contractuelles : CHF 850 000
- Salaires pendant l’arret : CHF 480 000
- Conseil juridique et protection des donnees : CHF 280 000
- Communication de crise : CHF 120 000
- Production acceleree de rattrapage : CHF 130 000
Une cyberassurance aurait-elle aide ?
Analyse des couts et couverture d’assurance
| Poste de cout | Cout estime | Couvert par la cyberassurance ? |
|---|---|---|
| Arret de production (17 jours) | CHF 4 200 000 | Oui — couverture interruption d’exploitation (prestation cle) |
| Restauration IT et revalidation BPF | CHF 1 800 000 | Oui — restauration des systemes couverte |
| Reponse aux incidents et forensique | CHF 650 000 | Oui — aide d’urgence 24/7 des la premiere heure |
| Penalites contractuelles | CHF 850 000 | Oui — composante responsabilite civile |
| Salaires pendant l’arret | CHF 480 000 | Oui — dans le cadre de l’interruption d’exploitation |
| Conseil juridique et protection des donnees | CHF 280 000 | Oui — y compris notifications aux autorites |
| Communication de crise | CHF 120 000 | Oui — conseil en RP souvent inclus |
| Production acceleree de rattrapage | CHF 130 000 | Partiellement — surcoots de limitation des dommages souvent couverts |
| Perte de clients a long terme | Non chiffrable | Non — dommage indirect |
| Dommage total | CHF 8 510 000 | ~70-85 % potentiellement couvert (CHF 6-7,2 mio.) |
Conclusion : Avec une cyberassurance et un plafond de couverture de CHF 10 millions, CHF 6-7,2 millions du dommage auraient ete couverts. La prime annuelle pour une telle police est d’environ CHF 25 000-40 000 — une fraction du dommage reel.
L’entreprise n’avait pas de cyberassurance. La direction avait sous-estime le risque et delegue la securite informatique au prestataire externe — sans definir ni verifier contractuellement ses normes de securite.
Enseignements pour les PME suisses
-
Le VPN sans MFA est negligent : Toute l’attaque aurait pu etre empechee par l’authentification multifacteur sur l’acces VPN. La MFA est la mesure individuelle la plus efficace et la plus economique.
-
Les acces de tiers sont a haut risque : Les prestataires informatiques externes avec acces VPN ont souvent les memes droits que les administrateurs internes. Limitez les droits d’acces au minimum (Least Privilege).
-
La pharma et les dispositifs medicaux sont particulierement vulnerables : La revalidation BPF apres une cyberattaque rend la restauration particulierement couteuse et longue dans l’industrie pharmaceutique.
-
17 jours n’est pas rare : La duree moyenne d’arret apres une attaque ransomware sur une PME est de 22 jours selon les etudes.
-
CHF 8,5 millions peuvent ruiner une PME : Pour des entreprises plus petites, un incident comparable serait potentiellement fatal.
-
La prime est une fraction du dommage : CHF 25 000-40 000 de prime annuelle vs. CHF 8,5 millions de dommages. Le rapport cout-benefice est clair.
Protegez votre entreprise
Ce cas le demontre de maniere frappante : un seul acces VPN compromis peut causer un arret de production de 17 jours et des millions de degats. La combinaison de mesures techniques (MFA, segmentation du reseau, monitoring) et d’une cyberassurance complete offre la meilleure protection.
Demandez un conseil sans engagement. Les specialistes de BTAG Versicherungsbroker AG a Berne ont l’experience de l’assurance d’entreprises pharmaceutiques, de fabrication et d’entreprises avec infrastructure OT. Ensemble, nous trouvons la couverture adaptee a votre profil de risque specifique — avant que l’urgence ne survienne.