hero-mobile-v3

La sécurité est au cœur de ce que nous faisons.
hero-mobile-v3

La sécurité d’un produit n’est pas uniquement une caractéristique, c’est une composante majeure de la protection de nos solutions.
X

Sécurité des produits | Stryker

Sécurité des produits

Chez Stryker, nous accordons une attention particulière à la sécurité de nos produits, car nous savons à quel point c’est important. Notre équipe dédiée à la sécurité des produits travaille sans relâche pour mettre en œuvre des mesures de sécurité strictes et collabore avec des partenaires du secteur pour améliorer continuellement nos pratiques de sécurité. Nous privilégions une approche anticipative de la sécurité pour devancer les nouvelles menaces et prenons les mesures appropriées pour remédier aux failles. Votre confiance est notre priorité absolue et nous nous engageons à protéger les produits et les données dont vous dépendez.

Informations sur l’assistance produit

Cybersécurité d’entreprise

  

Notre engagement

Nous effectuons des évaluations de sécurité avancées de nos produits tout au long de leur cycle de vie afin d’identifier et d’atténuer les éventuels risques de faille. Nous intégrons la sécurité à chaque phase du développement de produits, de la conception au déploiement en veillant à ce qu’elle reste une composante majeure de toutes nos activités.

 

 

Notre focus

  

Icône d’idée

Conception et développement de dispositifs

  • Au cours des phases de conception et de développement de nouveaux dispositifs médicaux, nous mettons en œuvre des mesures de sécurité englobant la modélisation des menaces, l’analyse des risques et l’intégration de contrôles de sécurité dans l’architecture du produit.
  • La collaboration entre les équipes d’ingénierie, de cybersécurité, de confidentialité et de réglementation permet une approche holistique pour mettre en œuvre les bonnes pratiques de sécurité dans l’innovation produit.
  • Nous garantissons que la sécurité est prise en compte dès les premières étapes de conception afin d’atténuer les risques de faille et de menaces susceptibles d’altérer la sécurité des patients ou de compromettre des données sensibles.

  

Icône de verrouillage

Chaîne d’approvisionnement
 

  • La sécurité de la chaîne d’approvisionnement est axée sur l’atténuation des risques liés à l’approvisionnement, à la fabrication, à la distribution et à la maintenance des dispositifs médicaux.
  • Nous collaborons étroitement avec les fournisseurs et les partenaires pour établir les exigences de sécurité, réaliser des analyses poussées et protéger l’intégrité des composants et des logiciels intégrés à leurs produits.
  • Des mesures telles que des pratiques de codage sûr, la validation du micrologiciel et des canaux de distribution fiables contribuent à prévenir la falsification, la contrefaçon ou les modifications non autorisées tout au long de la chaîne d’approvisionnement.

  

Icône de support

Réponse aux incidents et gestion des failles

  • Stryker a mis en place des processus stricts de réponse aux incidents et de gestion des failles pour détecter, évaluer et résoudre sans délais les problèmes de sécurité. Ces processus portent sur l’établissement de protocoles de communication, la coordination des efforts de réponse avec les clients et les administrations régulatrices, la publication de correctifs ou de mises à jour en temps opportun et la réalisation d’analyses post-incident.
  • Malgré des mesures de sécurité anticipatives, des failles et des incidents peuvent encore se présenter au cours du cycle de vie des dispositifs médicaux.

  

Icône d’approbation

Partenariats dans le domaine de la santé
 

  • Nos experts en la matière se joignent à des groupes industriels pour renforcer les principes de cybersécurité et les bonnes pratiques du secteur.
  • Nous prônons une démarche de transparence et de collaboration avec nos clients, les acteurs du secteur et nos fournisseurs afin de consolider la sécurité.
  • Nous participons à l’élaboration de référentiels sectoriels, de documents techniques et d’engagements proactifs avec les organismes de réglementation afin de contribuer à l’amélioration des soins de santé.

  

Derniers avis sur la sécurité

Vulnérabilités du serveur de rapports et du serveur vocal de Stryker Vocera

En savoir plus

Vulnérabilités du spouleur d’impression Microsoft (CVE-2021-34527 et CVE-2021-36958)

En savoir plus

Bibliothèque de journalisation de source libre Apache « Log4j »

En savoir plus

Vulnérabilités « SweynTooth » de BLE (ICSA - 20-063-01)

En savoir plus
AFFICHER TOUS LES ARTICLES

 

 

Divulgation coordonnée des vulnérabilités des produits (CVD)

Les chercheurs en sécurité ont un rôle à jouer dans l’identification des failles et des incidents de cybersécurité. Stryker a mis en place une démarche de processus de divulgation coordonnée des vulnérabilités (CVD) pour rendre plus efficace la collaboration et le signalement des vulnérabilités liées à ses dispositifs médicaux.

 

  

Important

  

Informations importantes sur notre démarche CVD

Nous collaborons de bonne foi avec les chercheurs et les parties qui testent nos produits et n’engagerons aucune action en justice contre les personnes qui transmettent des rapports via notre programme CVD. Votre participation à ce programme est considérée comme un accord juridique avec Stryker.

Nous nous engageons à collaborer avec les personnes qui :

  • testent les systèmes et recherchent des vulnérabilités sans nuire à Stryker ou à ses clients ;
  • réalisent des tests sur les produits sans nuire aux clients ou reçoivent la permission ou l’autorisation des clients avant de réaliser des tests de vulnérabilité sur les dispositifs et logiciels ;
  • réalisent des tests de vulnérabilité dans le cadre de notre programme de CVD des vulnérabilités tout en respectant les modalités des ententes conclues avec Stryker ;
  • respectent les lois de leur pays et des pays dans lesquels Stryker opère ;
  • s’abstiennent de divulguer les détails relatifs aux vulnérabilités avant l’expiration de l’intervalle conclu mutuellement.

Si vous décidez de communiquer des informations à Stryker, vous acceptez que celles-ci soient considérées comme non exclusives et non confidentielles et que Stryker puisse les utiliser de quelque manière que ce soit, en tout ou en partie, sans restriction. Vous acceptez également que les renseignements soumis ne vous octroient aucun droit et ne créent aucune obligation de la part de Stryker.

  

Ce que vous pouvez attendre de nous

  

Ce que vous pouvez attendre de nous

  • Nous apporterons une réponse rapide à votre e-mail (dans les 10 jours ouvrables).
  • Nous transférerons vos découvertes potentielles aux équipes produits concernées afin qu’elles puissent vérifier et reproduire vos résultats. Nous pourrions vous contacter à cette étape pour vous demander des renseignements complémentaires.
  • Nous confirmerons, après investigation, l’existence de la vulnérabilité et de son impact potentiel. Si nous déterminons que la vulnérabilité découverte peut nuire à la sécurité des patients, nous nous efforcerons de trouver une solution et prendrons les mesures correctives nécessaires. Toutes les autres vulnérabilités seront évaluées et traitées selon le risque qui leur est associé.
  • Nous aborderons les problèmes sur la base d’un dialogue ouvert.
  • Nous vous transmettrons un avis lorsque l’analyse de vulnérabilités aura été réalisée à chaque étape de notre examen.
  • Si vous le souhaitez, nous fournirons une reconnaissance une fois la vulnérabilité validée et résolue.

Nous nous engageons à la transparence concernant le calendrier de résolution de la vulnérabilité et des problèmes rencontrés, dans la mesure du possible.

L’intervention d’une tierce partie neutre (comme CERT/CC, ICS-CERT ou un autre organisme de réglementation compétent) pour nous aider à déterminer la meilleure solution pour traiter la vulnérabilité si nous ne sommes pas en mesure de résoudre des problèmes de communication ou autres.

Tous les aspects de la démarche CVD de Stryker sont susceptibles d’être modifiés sans préavis, à la seule discrétion de Stryker. Nous ne garantissons aucun niveau de réponse.

Processus de gestion des vulnérabilités

Notre démarche de divulgation coordonnée des vulnérabilités (CVD) porte sur les dispositifs médicaux réglementés et les produits logiciels de santé, notamment les dispositifs médicaux, les logiciels en tant que dispositif médical (SaMD) et les applications médicales mobiles. Elle ne sert en aucun cas à communiquer des informations d’assistance technique sur nos produits, à signaler des événements indésirables ou à faire des réclamations concernant la qualité des produits.

 

Comment signaler des vulnérabilités non liées au produit

Pour signaler des vulnérabilités non liées au produit dans l’infrastructure d’entreprise de Stryker, veuillez nous contacter via le programme Enterprise IT Vulnerability Disclosure de Stryker à l’adresse bugcrowd.com/stryker-vdp.

 

Comment nous faire part d’une vulnérabilité

Si vous avez identifié une éventuelle faille concernant l’un de nos dispositifs médicaux, logiciels en tant que dispositif médical (SaMD) ou applications médicales mobiles, veuillez utiliser le formulaire ci-dessous pour adresser un rapport de vulnérabilité à l’équipe Sécurité des produits de Stryker.

Pour signaler un événement indésirable ou une réclamation relative à la qualité d’un produit Stryker, veuillez consulter le site 
stryker.com/productexperience.

Formulaire de soumission de vulnérabilité  

Préférences de signalement

  • Rapports rédigés en anglais
  • Rapports contenant un code de validation de principe qui nous aidera à effectuer le tri
  • Procédure suivie pour détecter la vulnérabilité, ses effets et les solutions possibles
  • Projets ou intentions de divulgation au public, le cas échéant.
  • À noter : les rapports contenant uniquement des vidages sur incident ou d’autres données d’outils automatiques recevront une faible priorité.