Sécurité des produits

Chez Stryker, nous accordons une grande importance à la sécurité et à la sûreté de nos produits, car nous savons à quel point cela est important. Notre équipe dédiée à la sécurité des produits travaille sans relâche pour mettre en œuvre des mesures de sécurité robustes et elle collabore avec des partenaires de l’industrie pour améliorer continuellement nos pratiques en matière de sécurité. Nous adoptons une approche proactive en matière de sécurité pour nous prémunir contre les menaces émergentes et nous prenons les mesures appropriées pour remédier aux vulnérabilités. Votre confiance est notre priorité absolue, et nous nous engageons à protéger les produits et les données dont vous dépendez.

Renseignements sur le soutien aux produits

Cybersécurité d’entreprise

Notre engagement

Nous effectuons des évaluations approfondies de la sécurité de nos produits tout au long de leur cycle de vie afin d’identifier et d’atténuer les vulnérabilités potentielles. La sécurité est intégrée à chaque étape de notre processus de développement de produits, de la conception au déploiement, en veillant à ce qu’il s’agisse d’un élément fondamental dans tout ce que nous faisons.

Nos priorités

Conception et développement de dispositifs

Au cours des étapes de conception et de développement de nouveaux dispositifs médicaux, nous mettons en œuvre des mesures de sécurité qui incluent la modélisation des menaces, les évaluations des risques et l’intégration de contrôles de sécurité dans l’architecture du produit.

La collaboration entre les équipes d’ingénierie, de cybersécurité, de protection de la vie privée et de réglementation permet d’adopter une approche holistique pour mettre en œuvre des pratiques de sécurité exemplaires dans l’innovation de produit.

Nous veillons à ce que la sécurité soit prise en compte dès les premières étapes de conception afin d’atténuer les vulnérabilités et les menaces possibles qui pourraient avoir un impact sur la sécurité des patients ou compromettre des données sensibles.

Chaîne d’approvisionnement

La sécurité de la chaîne d’approvisionnement se concentre sur l’atténuation des risques associés à l’approvisionnement, à la fabrication, à la distribution et à la maintenance des dispositifs médicaux.

Nous collaborons étroitement avec les fournisseurs et les partenaires afin d’établir des exigences de sécurité, effectuer des évaluations approfondies et protéger l’intégrité des composants et des logiciels intégrés à leurs produits.

Des mesures, telles que des pratiques de codage sécurisées, la validation du micrologiciel et des canaux de distribution sécurisés, contribuent à prévenir la falsification, la contrefaçon ou les modifications non autorisées tout au long de la chaîne d’approvisionnement.

Réponse aux incidents et gestion des vulnérabilités

Stryker a mis en place des processus robustes de réponse aux incidents et de gestion des vulnérabilités pour détecter, évaluer et atténuer rapidement les problèmes de sécurité. Cela comprend l’établissement de protocoles de communication, la coordination des efforts auprès des clients et les organismes de réglementation, la publication de correctifs ou de mises à jour en temps opportun et la réalisation d’examens post-incident.

Malgré des mesures de sécurité proactives, des vulnérabilités et des incidents peuvent tout de même survenir au cours du cycle de vie des dispositifs médicaux.

Partenariats en soins de santé

Nos experts en la matière participent aux travaux des groupes industriels pour faire progresser les principes de cybersécurité et les pratiques exemplaires du secteur.

Nous encourageons une culture de transparence et de collaboration avec les clients, les acteurs de l’industrie et les fournisseurs afin de renforcer la sécurité.

Nous aidons à l’élaboration de cadres industriels, de documents techniques et d’engagements proactifs avec les organismes de réglementation pour contribuer à améliorer les soins de santé.

Derniers avis sur la sécurité

Serveur de rapports Vocera et vulnérabilités du serveur vocal de Stryker

Vulnérabilités dans le spouleur d'impression Microsoft (CVE-2021-34527 and CVE-2021-36958)

Librairie de journalisation à source ouverte Apache « Log4j »

Vulnérabilités « SweynTooth » liées aux appareils BLE (ICSA-20-063-01)

AFFICHER TOUS LES ARTICLES

Divulgation coordonnée des vulnérabilités des produits

Les chercheurs en sécurité jouent un rôle dans l’identification des vulnérabilités et des préoccupations en matière de cybersécurité. Stryker dispose d’un processus coordonné de divulgation des vulnérabilités pour favoriser la collaboration et le signalement efficaces des vulnérabilités des dispositifs médicaux de Stryker.

Informations importantes sur notre processus coordonné de divulgation des vulnérabilités

Nous travaillons en toute bonne foi avec les chercheurs et les parties qui testent nos produits et n’engagerons aucune action en justice contre les personnes qui soumettent des rapports par l’entremise de notre processus coordonné de divulgation des vulnérabilités. Votre utilisation de ce processus est considérée comme un accord juridique avec Stryker.

Nous acceptons de collaborer avec les personnes qui :

testent les systèmes ou recherchent des vulnérabilités sans nuire à Stryker ou à ses clients.

réalisent des tests sur les produits sans nuire aux clients, ou reçoivent la permission ou l’autorisation des clients avant de réaliser des tests de vulnérabilité sur les dispositifs ou logiciels.

réalisent des tests de vulnérabilité dans le cadre de notre programme coordonné de divulgation des vulnérabilités tout en respectant les modalités des ententes conclues avec Stryker;

respectent les lois de leur pays et des pays dans lesquels Stryker fait affaire.

s’abstiennent de divulguer les détails des vulnérabilités avant l’expiration de la période conclue mutuellement.

Si vous décidez de transmettre des renseignements à Stryker, vous acceptez que ceux-ci soient considérés comme non exclusifs et non confidentiels et que Stryker puisse les utiliser de quelque manière que ce soit, en tout ou en partie, sans restrictions. Vous acceptez également que les renseignements soumis ne créent aucun droit pour vous ni aucune obligation de la part de Stryker.

Ce que vous pouvez espérer de nous

Nous répondrons rapidement à votre courriel (dans les 10 jours ouvrables).

Nous transmettrons vos découvertes potentielles aux équipes de produits appropriées à des fins de vérification et de reproduction. Nous pourrions vous contacter à cette étape pour obtenir des renseignements additionnels.

Nous confirmerons l’existence de la vulnérabilité et de ses effets potentiels à la suite d’une enquête sur le rapport. Si nous déterminons que la vulnérabilité découverte peut nuire à la sécurité des patients, nous nous efforcerons de trouver une solution et prendrons les mesures correctives nécessaires. Toutes les autres vulnérabilités seront évaluées et abordées selon le risque y étant associé.

Nous aborderons les problèmes dans un dialogue ouvert.

Nous vous aviserons lorsque l’analyse de vulnérabilité aura été réalisée à chaque étape de notre examen.

Si désiré, vous recevrez un crédit une fois que la vulnérabilité aura été validée et résolue.

Un engagement à la transparence concernant l’échéancier de résolution de la vulnérabilité et les problèmes rencontrés, autant que possible.

L’intervention d’une tierce partie neutre (comme CERT/CC, ICS-CERT ou un autre organisme de réglementation pertinent) pour nous aider à déterminer la meilleure solution pour traiter la vulnérabilité si nous n’arrivons pas à résoudre un problème de communication ou autre problème.

Tous les aspects du processus coordonné de divulgation des vulnérabilités de Stryker sont susceptibles d’être modifiés sans préavis, à la seule discrétion de Stryker. Nous ne garantissons aucun degré d’intervention.

Processus de gestion des vulnérabilités

Notre processus coordonné de divulgation des vulnérabilités s’applique aux dispositifs médicaux réglementés et aux produits logiciels de santé, y compris les dispositifs médicaux, les logiciels comme dispositifs médicaux et les applications mobiles médicales. Il n’est pas destiné à la divulgation de renseignements techniques sur les produits, au signalement des événements indésirables ni au dépôt de plaintes relatives à la qualité des produits.

Comment signaler les vulnérabilités non liées au produit

Pour signaler des vulnérabilités non liées au produit dans l’infrastructure d’entreprise de Stryker, veuillez nous contacter via le programme de divulgation des vulnérabilités informatiques d’entreprise de Stryker à l’adresse bugcrowd.com/stryker-vdp.

Soumission d’une vulnérabilité

Si vous avez identifié une vulnérabilité potentielle sur l’un de nos appareils médicaux, logiciels comme dispositifs médicaux ou applications mobiles médicales, veuillez utiliser le formulaire ci-dessous pour soumettre un rapport de vulnérabilité à l’équipe de sécurité des produits de Stryker.

Pour signaler un événement indésirable ou déposer une plainte relative à la qualité d’un produit, veuillez visiter notre site Web
stryker.com/productexperience.

Formulaire de soumission de vulnérabilité

Ce que nous aimerions voir dans votre soumission

Des rapports rédigés en anglais.
Des rapports comprenant un code de validation de principe qui nous aidera à effectuer le tri.
La façon dont vous avez trouvé la vulnérabilité, ses effets et des solutions possibles.
Vos plans ou vos intentions de divulgation au public, le cas échéant.
Remarque : Les rapports qui comprennent uniquement des vidages sur incident ou autres données d’outils automatiques recevront une faible priorité.

La sécurité est au cœur de ce que nous faisons.

La sécurité des produits n’est pas seulement une caractéristique, c’est un élément clé de la protection de nos solutions.