Nous nous engageons à garantir la sécurité, l’efficacité et la sécurité de nos produits. En ce sens, nous portons une attention toute particulière à la cybersécurité de nos produits et de l’infrastructure de nos clients.

La recherche en matière de sécurité contribue à l’identification des vulnérabilités et des problèmes liés à la cybersécurité. Notre objectif consiste à collaborer efficacement avec les chercheurs afin de comprendre leurs découvertes. Nous présentons donc notre processus initial coordonné de divulgation des vulnérabilités, qui vise à promouvoir la collaboration et le signalement des vulnérabilités auxquelles sont exposés les dispositifs médicaux, comme décrit ci-dessous.

Le programme de signalement des vulnérabilités s’applique aux dispositifs médicaux, aux logiciels comme dispositifs médicaux et aux applications mobiles médicales. Il n’est pas destiné à la divulgation de renseignements techniques sur les produits, au signalement des événements indésirables ni au dépôt de réclamations portant sur la qualité des produits.

Pour signaler un événement indésirable ou présenter une réclamation portant sur la qualité d’un produit, veuillez nous contacter via la page stryker.com/productexperience.

Comment nous faire part d’une vulnérabilité

Si vous avez découvert une vulnérabilité potentielle de la sécurité dans l’un de nos dispositifs médicaux, logiciels comme dispositifs médicaux ou applications mobiles médicales, veuillez la signaler à l’équipe en charge de la sécurité des produits de Stryker en complétant le formulaire suivant et en l’envoyant par courriel à l’adresse ProductSecurity@stryker.com.

Informations importantes :
 

Nous n’intenterons pas de poursuite judiciaire contre les personnes qui soumettent un rapport par le biais du processus de signalement des vulnérabilités et concluent une entente juridique avec notre société. Nous nous engageons à collaborer avec les personnes qui :    

• testent les systèmes et recherchent des vulnérabilités sans nuire à Stryker ou à ses clients ;    
• réalisent des tests sur les produits sans nuire aux clients ou reçoivent la permission ou l’autorisation des clients avant de réaliser des tests de vulnérabilité sur les dispositifs, logiciels ou autres ;  
• réalisent des tests de vulnérabilité dans le cadre de notre programme de divulgation des vulnérabilités tout en respectant les modalités des ententes conclues avec Stryker ;
• respectent les lois de leur pays et des pays dans lesquels Stryker opère. Par exemple, la violation d’une loi qui n’entraîne qu’une plainte de Stryker (contrairement à des poursuites au pénal) peut être acceptable dans la mesure où Stryker autorise l’activité (rétro-ingénierie ou contournement des mesures de protection) afin d’améliorer ses systèmes ;
• s’abstiennent de divulguer les détails relatifs aux vulnérabilités avant l’expiration de l’intervalle conclu mutuellement.
  

Critères de préférence, de définition des priorités et d’acceptation
Pour faire le tri parmi les soumissions et déterminer celles qui sont prioritaires, nous appliquerons les critères suivants.   

Ce que nous attendons de vous :

• des rapports rédigés en anglais ;  
• des rapports contenant un code de validation de principe qui nous aidera à effectuer le tri ;   
• la procédure suivie pour détecter la vulnérabilité, ses effets et les solutions possibles ;   
• vos projets ou vos intentions de divulgation au public, le cas échéant.   

Remarque : les rapports contenant uniquement des vidages sur incident ou d’autres données d’outils automatiques recevront une faible priorité.

Ce que vous pouvez attendre de nous :   

• Une réponse rapide à votre courriel (dans les 5 jours ouvrables).
• Nous transférerons vos découvertes potentielles aux équipes produits concernées afin qu’elles puissent vérifier et reproduire vos résultats. Nous pourrions vous contacter à cette étape pour vous demander des renseignements complémentaires.  
• Nous confirmerons, après investigation, l’existence de la vulnérabilité et de son impact potentiel.  Si nous déterminons que la vulnérabilité découverte peut nuire à la sécurité des patients, nous nous efforcerons de trouver une solution et prendrons les mesures correctives nécessaires. Toutes les autres vulnérabilités seront évaluées et traitées selon le risque qui leur est associé.
• Un dialogue ouvert pour discuter des problèmes.   
• Une notification lorsque l’analyse de vulnérabilité a été réalisée à chaque étape de notre examen.   
• Une reconnaissance après que la vulnérabilité a été validée et résolue, si vous le souhaitez.   
• Nous nous engageons à la transparence concernant le calendrier de résolution de la vulnérabilité et des problèmes rencontrés, dans la mesure du possible.  
• L’intervention d’une tierce partie neutre (comme CERT/CC, ICS-CERT ou un autre organisme de réglementation compétent) pour nous aider à déterminer la meilleure solution pour traiter la vulnérabilité si nous ne sommes pas en mesure de résoudre des problèmes de communication ou autres.   

Tous les aspects de ce processus peuvent faire l’objet de changements sans préavis et d’un traitement au cas par cas. Nous ne garantissons aucun niveau de réponse.

Avis

Si vous décidez de communiquer des informations à Stryker, vous acceptez que celles-ci soient considérées comme non exclusives et non confidentielles et que Stryker puisse les utiliser de quelque manière que ce soit, en tout ou en partie, sans restriction. Vous acceptez également que les renseignements soumis ne vous octroient aucun droit et ne créent aucune obligation de la part de Stryker.

Dans le cadre de notre engagement en matière de sécurité des produits et de service à la clientèle, nous fournissons à nos clients des renseignements qui les aideront à évaluer les vulnérabilités et les risques, et à y remédier.

Plus particulièrement, la déclaration du fabricant sur la sécurité des dispositifs médicaux (MDS²) nous permet de fournir des informations sur la sécurité de nos produits.

La déclaration MDS² contient des informations spécifiques sur la sécurité des produits concernant les capacités des dispositifs, par exemple :

• Entreposage, entretien et transmission de renseignements électroniques protégés sur la santé (ePHI) 
• Sauvegarde des données et capacités des supports amovibles
• Installation de correctifs de sécurité et de logiciels antivirus
• Accès à distance aux services
• Journaux d’audit de l’accès aux renseignements électroniques protégés sur la santé, notamment : consultation ; création, modification et suppression de dossiers ; importation/exportation

La déclaration MDS², formulaire de rapport universel qui nous permet de fournir à nos clients des renseignements spécifiques aux modèles, est approuvée par l’American College of Clinical Engineering (ACCE), l’ECRI (anciennement l’Emergency Care Research Institute), la National Electrical Manufacturers Association (NEMA) et la Healthcare Information and Management Systems Society (HIMSS).

Ce formulaire contient aussi des recommandations et des notes explicatives du fabricant sur les pratiques à mettre en œuvre en matière de sécurité.