SYNTHIA^® est une solution logicielle de rétrosynthèse basée sur le cloud, développée et commercialisée par Merck KGaA, Darmstadt, Allemagne, et ses filiales. La plateforme est conçue pour permettre aux chimistes de planifier efficacement les Voies de synthèse pour les molécules nouvelles et publiées. La sécurité et la protection des données sont fondamentales pour SYNTHIA^®, comme en témoignent sa certification ISO 27001:2022 et ses classements de premier plan en matière de cybersécurité. Ce document fournit un aperçu factuel des mesures de sécurité, des certifications et des pratiques en place pour SYNTHIA^®, en ne référençant que les sources jointes et officiellement publiées.

 

Aperçu du cadre de sécurité

Un aperçu des principaux domaines et pratiques de sécurité dans les domaines de la gouvernance, de l'infrastructure, de la conformité et de la gestion des risques.
 

Gouvernance de la sécurité de l'information

Certification ISO 27001

SYNTHIA^® est certifiée selon la norme ISO/IEC 27001:2022 pour les systèmes de gestion de la sécurité de l'information (ISMS). Cette certification couvre le développement et la commercialisation de SYNTHIA^® et d'autres solutions numériques, garantissant une approche systématique de la gestion des informations sensibles et de l'atténuation des risques. La certification est jointe.

En savoir plus
 

Médaille de platine CyberVadis
En 2025, Merck a reçu une médaille de platine de CyberVadis pour ses performances exceptionnelles en matière de cybersécurité, reflétant des contrôles de sécurité matures et complets dans les domaines de la confidentialité des données, de la protection des données, de la continuité des activités et de la gestion des tiers.

Lire la suite


Confidentialité des données et conformité

Une politique formelle de protection des données est en place, et la fonction de protection des données est responsable de la protection des données à caractère personnel (PII). Les périodes de conservation des données personnelles sont identifiées et les procédures de suppression, de modification et de portabilité sont formalisées. Tous les traitements de données à caractère personnel sont licites et les clauses de confidentialité des données nécessaires sont incluses dans les contrats. L'organisation se conforme au GDPR et aux autres réglementations applicables en matière de confidentialité des données et dispose de processus pour notifier les individus et les régulateurs en cas de violation de données.


Sécurité des applications et de l'infrastructure

Cycle de vie de développement sécurisé
SYNTHIA^® suit un cycle de vie de développement logiciel sécurisé (SSDLC), comprenant des tests statiques et dynamiques de sécurité des applications (SAST/DAST), la gestion des vulnérabilités et des revues de code. Les tests de pénétration et l'analyse des vulnérabilités sont effectués au moins une fois par an, avec une intégration continue des tests de sécurité dans le pipeline de développement. La modélisation des menaces et les examens de l'architecture sont effectués régulièrement.

Chiffrement
Les données sont chiffrées en transit à l'aide de HTTPS (TLS v2) et au repos à l'aide d'un chiffrement géré dans le nuage. Les clés de chiffrement sont gérées via un système de gestion des clés (KMS). Tous les mots de passe sont stockés sous forme salée et hachée.

Contrôle d'accès
Le contrôle d'accès basé sur les rôles (RBAC) est appliqué, avec une authentification multifactorielle (MFA) pour la connexion des utilisateurs. Les droits d'accès sont revus périodiquement et le principe du moindre privilège est appliqué à tous les utilisateurs. Une séparation des tâches et des comptes séparés pour les tâches administratives sont en place. Journalisation, surveillance et réponse aux incidents Les événements et incidents de sécurité sont gérés selon un processus formalisé, et les journaux sont protégés contre la falsification et les accès non autorisés. Sécurité du réseau et des terminaux SYNTHIA^® est protégé par des pare-feu d'application web (WAF), des systèmes de détection/prévention d'intrusion (IDS/ IPS), et des mécanismes de prévention des pertes de données (DLP). La protection contre les dénis de service distribués (DDoS) est mise en œuvre au niveau de l'infrastructure. Les postes de travail et les supports de stockage de l'entreprise sont cryptés, régulièrement corrigés et protégés contre les accès non autorisés et les logiciels malveillants.

Journalisation, surveillance et réponse aux incidents
Les événements et incidents de sécurité sont gérés selon un processus formalisé, et les journaux sont protégés contre la falsification et les accès non autorisés.

Sécurité du réseau et des terminaux
SYNTHIA^® est protégé par des pare-feu d'application Web (WAF), des systèmes de détection/prévention d'intrusion (IDS/ IPS) et des mécanismes de prévention des pertes de données (DLP). 
Une protection contre les dénis de service distribués (DDoS) est mise en œuvre au niveau de l'infrastructure. 
Les postes de travail et les supports de stockage de l'entreprise sont cryptés, patchés régulièrement et protégés contre les accès non autorisés et les logiciels malveillants.

Infrastructure en nuage
SYNTHIA^® est hébergée sur Amazon Web Services (AWS), qui fait régulièrement l'objet d'audits de conformité aux normes ISO 9001, 27001, 27018 et SOC2. La plateforme suit les meilleures pratiques de l'AWS Well-Architected Framework, y compris le sous-réseau privé, la gestion des clés et la surveillance continue. Une configuration sécurisée, un pare-feu et une protection contre les logiciels malveillants sont mis en œuvre au niveau de l'application et de l'infrastructure.

Continuité des activités et reprise après sinistre
La gestion de la continuité des activités et les plans de reprise après sinistre sont formalisés et testés périodiquement. Les sauvegardes de données sont cryptées et effectuées quotidiennement.

Sécurité des tiers et de la chaîne d'approvisionnement
L'accès des tiers est limité à des systèmes spécifiques et est régi par des contrats qui incluent des exigences de sécurité, des accords de confidentialité et des droits d'audit. Des évaluations des risques par des tiers sont effectuées et les fournisseurs de services en nuage doivent apporter la preuve qu'ils disposent de plans de continuité des activités et de réponse aux incidents, ainsi que de certifications de sécurité officielles.

Sécurité des tiers et de la chaîne d'approvisionnement
L'accès des tiers est limité à des systèmes spécifiques et est régi par des contrats comprenant des exigences de sécurité, des accords de confidentialité et des droits d'audit. Des évaluations des risques par des tiers sont effectuées et les fournisseurs de services en nuage doivent fournir des preuves de plans de continuité des activités et de réponse aux incidents, ainsi que des certifications de sécurité officielles.

Conformité et alignement réglementaire
SYNTHIA^® est conforme à la norme ISO 27001:2022 et au GDPR. Les exigences de conformité locales sont suivies et adoptées si nécessaire. La plateforme ne traite pas de données de paiement et n'est pas soumise aux exigences PCI DSS.

Sensibilisation et formation à la sécurité
Des programmes de sensibilisation à la sécurité de l'information et à la confidentialité des données sont en place pour l'ensemble du personnel, y compris une formation à l'ingénierie sociale et une politique de bureau clair. Les nouvelles recrues, les sous-traitants et les travailleurs temporaires sont tenus de signer un code de déontologie ou un accord de confidentialité, et des vérifications d'antécédents sont effectuées.