Protection des données et sécurité des informations chez Twist

La protection des données des clients et des partenaires est une responsabilité essentielle et une priorité absolue chez Twist. Nos clients et partenaires nous confient des informations confidentielles qui pourraient devenir la base de leur propriété intellectuelle. Pour Twist, la protection des données cruciales des clients implique la mise en œuvre de mesures de sécurité robustes pour protéger les informations sensibles et confidentielles contre les accès non autorisés, les violations et les cybermenaces, ainsi que l’utilisation du cryptage, de systèmes de stockage sécurisés et des contrôles d’accès stricts. Nous avons établi des politiques claires de traitement des données, formons régulièrement nos employés aux meilleures pratiques de sécurité et restons conformes, voire en avance sur les réglementations nationales et internationales en vigueur en matière de protection des données. Des audits de sécurité et des mises à jour régulières des systèmes sont essentiels pour faire face aux vulnérabilités émergentes. 

Le programme de sécurité de l’information de Twist, tout comme nos programmes de qualité, de confidentialité et de biosécurité, repose sur des normes internationales, est supervisé par des experts en la matière et est soumis à un examen rigoureux et continu.

Twist est certifiée ISO 27001 selon la révision la plus récente de la norme 2022. Un organisme de certification indépendant et accrédité audite Twist chaque année pour s’assurer que tous les éléments fonctionnels du programme de sécurité de l’information (notre personnel, nos processus et notre technologie) sont conformes à la norme ou la dépassent. Notre conseil d’administration supervise tous les programmes au plus haut niveau de l’entreprise.

Le personnel 

• Tous les employés de l’entreprise sont formés à notre programme de sensibilisation à la cybersécurité qui inclut le phishing et l’ingénierie sociale. Ce programme comprend une formation annuelle, des tests trimestriels et des campagnes d’information hebdomadaire afin de maintenir la sécurité numérique au premier plan des préoccupations de notre équipe.
• Nous effectuons des vérifications des antécédents des employés, délimitons clairement les rôles et les responsabilités, appliquons une philosophie stricte de moindre privilège pour le contrôle d’accès et intégrons la séparation des tâches dans nos politiques et nos opérations.
•  Nous avons noué des partenariats avec des experts en conformité, des experts en tests de pénétration, des équipes de centres d’opérations de sécurité, des cabinets d’avocats spécialisés dans la cybersécurité et des agences nationales et internationales, notamment le Center for Internet Security (CIS), le MITRE, l’US-CERT (United States Computer Emergency Readiness Team), la CISA (Cybersecurity and Infrastructure Security Agency) et le Federal Bureau of Investigation (FBI).
• L'équipe de direction, le comité d'audit et le comité d'approbation des produits sont régulièrement informés de la situation de l'entreprise en matière de cybersécurité et donnent des conseils sur la stratégie et les priorités.
• Le conseil d’administration est informé de notre situation et de notre feuille de route en matière de cybersécurité, sur une base semestrielle.

Processus

• Audits annuels et renouvellement de la certification ISO 27001 pour s'assurer que les pratiques de protection des données sont conformes aux lois applicables et aux meilleures pratiques en matière de cybersécurité.
• Évaluation annuelle des risques réalisée par l’équipe de sécurité de l’information et supervisée par le directeur des systèmes d’information.
• Tests de pénétration annuels effectués par une agence tierce accréditée.
• Analyse et atténuation continues des vulnérabilités, tant dans notre système que dans nos services.
• Examens trimestriels du contrôle d’accès pour toutes les applications importantes.
• Politiques et procédures de réponse aux incidents, de continuité des activités et de reprise après sinistre pour faire face aux incidents de cybersécurité ou aux catastrophes naturelles.
• Gestion de la chaîne d'approvisionnement avec évaluations de la sécurité lors de la sélection des fournisseurs et évaluations des fournisseurs.
• La politique et les pratiques de l’entreprise en matière de confidentialité sont conformes aux lois et aux réglementations applicables en matière de protection des données à caractère personnel.

Technologie

• Infrastructure de production hébergée dans des centres de données AWS SOC audités
• Protection des points de terminaison et sécurité des passerelles pilotées par l’IA
• Gestion du cycle de vie des identités
• Authentification unique, authentification multifacteur et VPN
• Gestion des secrets et des accès privilégiés
• Cryptage au repos et en transit avec KMS
• Technologie de pare-feu nouvelle génération, réseaux segmentés et authentification basée sur des certificats

La biosécurité chez Twist

Twist est un fournisseur leader d’ADN synthétique à l’échelle mondiale et s’engage à promouvoir une utilisation responsable de ses produits. À cette fin, l’entreprise a investi des ressources importantes dans le développement et l’amélioration continue d’un programme complet de biosécurité. Ce programme comprend la participation à des initiatives nationales et internationales visant à améliorer les algorithmes, les métadonnées et les outils utilisés par les chercheurs pour évaluer les risques biologiques potentiels posés par des séquences d’ADN et de protéines spécifiques.

Twist reconnaît que les progrès en matière de biosécurité sont primordiaux en tant que fournisseur de technologies de base et cherche à contribuer à la création d'un environnement biotechnologique sûr. L’entreprise s’est engagée et a collaboré avec des gouvernements, des institutions universitaires, des organisations non gouvernementales internationales et d’autres fournisseurs de synthèse d’ADN pour mettre au point un ensemble de meilleures pratiques cohérentes en matière de biosécurité. Le domaine de la biotechnologie et de la biologie de synthèse continuant d’évoluer, Twist participe activement à la rédaction du manuel de biosécurité, afin de garantir la mise en place de mesures de protection appropriées.

Réglementations nationales et internationales

Afin de se conformer à toutes les directives et réglementations du gouvernement américain, Twist met en œuvre des mesures strictes de biosécurité et de contrôle des exportations pour garantir que toutes les commandes sont exécutées de manière appropriée. Ces mesures comprennent le respect du Cadre de sélection des directives pour les fournisseurs et les utilisateurs d’acides nucléiques synthétiques (Screening Framework Guidance for Providers and Users of Synthetic Nucleic Acids) publié en 2023 par le gouvernement américain et du Protocole de sélection harmonisé (Harmonized Screening Protocol) établi par l’International Gene Synthesis Consortium. Le programme américain Federal Select Agent Program (FSAP) est le principal cadre réglementaire régissant le contrôle de certaines séquences d’ADN synthétiques aux États-Unis. De plus, comme Twist fabrique tous ses produits aux États-Unis (Wilsonville, Oregon et South San Francisco, Californie), la vente d’ADN synthétique est soumise au respect des réglementations sur l’administration des exportations (EAR) régies par le ministère du Commerce des États-Unis, qui stipulent que certaines séquences d’acides nucléiques peuvent nécessiter une licence avant l’exportation.

En adhérant à ces cadres réglementaires, Twist garantit que les séquences d’ADN qui présentent un risque important en cas de mauvaise utilisation ne sont pas synthétisées ou expédiées à des organisations qui pourraient ne pas les utiliser de manière responsable.

Contrôle des séquences et des clients

Afin d'éviter la synthèse de séquences potentiellement dangereuses, Twist a mis en place un programme de contôle complet. 

Toutes les séquences d'ADN double brin commandées sont examinées pour déterminer si elles proviennent d'un organisme ou d'une toxine dont la détention est contrôlée au niveau national ou international. Ces organismes ou toxines contrôlés comprennent la variole, les souches dangereuses de la grippe aviaire et d’autres agents pathogènes qui constituent une menace importante pour la santé animale, végétale ou humaine. Les organismes et toxines contrôlés sont très réglementés et leur détention est restreinte.

Si une séquence contrôlée (ou une partie de celle-ci) est détectée lors du criblage, Twist contacte le client pour vérifier son identité, l’usage qu’il compte faire des séquences, ses publications antérieures sur des recherches similaires, et s’assurer que toutes les licences requises sont délivrées avant l’expédition.

En outre, Twist consulte diverses listes gouvernementales, telles que la liste des ressortissants spécialement désignés du Trésor américain, la liste des parties refusées du Département d’État américain et la liste des entités du Département du commerce, pour contrôler chaque client, ce qui garantit que l’ADN synthétique n’est pas vendu à des personnes ou à des organisations potentiellement dangereuses. De plus, Twist confirme la validité de chaque organisation cliente et demande à ses clients de s’engager à ne pas revendre l’ADN synthétique produit par Twist, à moins qu’ils n’aient été autorisés à le faire dans le cadre d’un contrat spécifique. Twist n’expédie l’ADN synthétique qu’à des adresses commerciales valides et n’effectuera aucun envoi à une adresse résidentielle ou à une boîte postale.

Personnel

Twist affecte des ressources humaines pour s’assurer que ses employés adhèrent à toutes les politiques et procédures qui font partie de son programme de biosécurité et pour répondre à toutes les préoccupations qui pourraient survenir. Cette équipe comprend un responsable de la conformité commerciale, un responsable du contrôle et une équipe d’intervention en matière de biosécurité.

Rapport

Twist collabore avec diverses organisations gouvernementales et industrielles pour répondre aux préoccupations en matière de biosécurité. Ces organisations comprennent le Federal Bureau of Investigation (FBI), les Centers for Disease Control and Prevention (CDC), le Bureau de l’industrie et de la sécurité du ministère du Commerce des États-Unis et le Service d’inspection de la santé animale et végétale du ministère de l’agriculture des États-Unis. En outre, Twist est membre et actuel président du Consortium international pour la synthèse génétique (International Gene Synthesis Consortium, IGSC), un groupe d’entreprises du secteur qui comprend plus de 25 des plus importants fabricants d’ADN synthétique au monde. Les membres de l’IGSC peuvent utiliser un mécanisme existant pour s’informer mutuellement des commandes suspectes reçues afin d’empêcher la commande de séquences d’ADN dangereuses auprès d’autres fournisseurs.

Tenue de registres

Chez Twist, nous avons mis en œuvre des politiques internes qui respectent ou dépassent les recommandations énoncées dans le document 2023 U.S. Department of Health & Human Services Screening Framework Guidance of Providers and Users of Synthetic Nucleic Acids en ce qui concerne la conservation de la documentation pour chaque contrôle de biosécurité d’une séquence d’ADN qui a été commandée. Twist conserve cette documentation pendant une période d’au moins huit ans.

L’équipe rouge

Twist met à l’épreuve l’efficacité de son programme de biosécurité en engageant des consultants qualifiés chargés de tenter de violer ses mesures de sécurité, une pratique communément appelée « red teaming » (équipe rouge) en cybersécurité. Les consultants passent de véritables commandes qui visent à tromper le processus de sélection. Malgré ces tentatives, aucune des méthodes de contournement des experts n’a réussi, ce qui indique que le programme de biosécurité mis en œuvre par Twist est très robuste.

Conscients que la biosécurité est un domaine en constante évolution, nous nous efforçons de suivre les meilleures pratiques et de nous adapter aux préoccupations émergentes. Nous pensons que la recherche en sciences de la vie peut améliorer la santé publique et la préparation aux situations d’urgence, et nous encourageons une gouvernance souple pour tenir compte des nouvelles informations et des dynamiques changeantes.

Pour garantir que nos protocoles de contrôle respectent ou dépassent les meilleures pratiques, nous collaborons activement avec des experts de premier plan et participons notamment au programme Génomique fonctionnelle et évaluation computationnelle des menaces (Functional Genomic and Computational Assessment of Threats) de l’Intelligence Advanced Research Projects Activity (IARPA) et nous apportons notre soutien à l’Initiative internationale de biosécurité pour la science (International Biosecurity & Biosafety Initiative for Science, IBBIS).

Bien que la mise en œuvre de ces politiques et procédures nécessite un investissement en temps et en ressources, nous restons déterminés à faire progresser la recherche scientifique au profit de la société. La biologie de synthèse est capable d’améliorer la santé humaine et l’environnement, et nous sommes fiers de fournir de l’ADN synthétique de haute qualité tout en maintenant un contrôle de biosécurité rigoureux pour garantir la sécurité du public.