Déclaration de vulnérabilité coordonnée de GE Santé v2.0

GE Santé encourage la recherche responsable en matière de sécurité

GE Santé est conscient du rôle important que jouent les chercheurs en sécurité dans la promotion de pratiques de conception sécuritaires et l'atténuation des risques pour la sécurité, tant au sein de l'industrie des appareils médicaux que dans l'ensemble de l'écosystème des soins de santé. Nous valorisons le travail effectué par les chercheurs en sécurité et encourageons un engagement proactif avec nous sur les vulnérabilités découvertes et la déclaration proposée d'une manière coordonnée et responsable. Ce document énonce à la fois nos attentes à l'égard des chercheurs qui mènent des recherches sur la sécurité des produits de GE Santé dans le cadre de leurs interactions avec nous et avec les autres, et ce à quoi ils peuvent également s'attendre de nous.

Portée

La présente Déclaration de vulnérabilité coordonnée s'applique à tous les produits de GE Santé disponibles sur le marché. L'objectif commun des chercheurs en sécurité et de GE Santé devrait toujours être de réduire les risques, en tenant dûment compte de l'ensemble de l'environnement opérationnel touché par toute vulnérabilité découverte.

Préalables à la déclaration

Les chercheurs en sécurité doivent respecter les exigences préalables suivantes tout au long du processus de recherche et de déclaration, notamment la recherche initiale et les essais :

  • Se conformer à toutes les lois et à tous les règlements applicables de votre établissement et de l'endroit où se trouve le produit GE Santé;
  • Ne pas utiliser une vulnérabilité pour prendre des mesures disproportionnées, telles que l'exploitation d'une vulnérabilité autre que pour prouver son existence, la suppression de données sensibles du produit ou la création d'une faille dans un produit ou d'autres éléments qui en accroissent la vulnérabilité pour un usage subséquent;
  • Ne pas effectuer de recherches ou d'essais sur des systèmes qui pourraient entraîner des risques pour les patients;
  • Ne pas tester les produits ou l'infrastructure réseau dans un environnement clinique ou tout autre environnement en activité où les produits sont utilisés pour le diagnostic, le traitement, les soins ou la surveillance des patients, ou pourraient être utilisés de cette manière par inadvertance;
  • Tout produit destiné à une utilisation ultérieure en milieu clinique doit être remis dans son état original à la fin des essais. Contacter GE Santé pour obtenir une assistance technique;
  • Veiller à obtenir la permission écrite du propriétaire du produit GE Santé avant tout essai afin de vous assurer que la portée est bien définie;
  • Ne pas divulguer les détails de la vulnérabilité au public avant un délai mutuellement convenu avec GE Santé;
  • Ne pas utiliser l'appareil à l'extérieur de la portée décrite dans le présent document; et
  • Fournir sans délai les détails de la communication aux organismes de réglementation ou à d'autres tiers au sujet de toute vulnérabilité découverte.

Comment signaler une vulnérabilité

Pour signaler une vulnérabilité à l'équipe de sécurité des produits de GE Santé, veuillez envoyer un courriel à (GEHealthcareCVD@GE.com). Veuillez utiliser notre clé PGP ci-dessous, ou d'autres outils de cryptage appropriés, afin de protéger tous les renseignements confidentiels. Veuillez ne pas inclure de renseignements confidentiels (p. ex. données qui permettent d’identifier les patients) dans le corps de la communication ou dans les pièces jointes (p. ex. captures d'écran, images ou fichiers journaux).

Préférences, priorisations et critères d'acceptation

Ce que nous vous demandons et attendons de vous :

  • Les rapports bien rédigés en anglais sont plus susceptibles d'être résolus;
  • L'inclusion de détails essentiels tels que l'emplacement géographique du produit, le modèle exact et le numéro de série, ainsi que la révision du logiciel et la méthode d'obtention du système, sont des facteurs qui sont déterminants pour la priorisation;
  • Les rapports qui comprennent un code de preuve de concept permettent un triage plus efficace;
  • Les rapports sur les produits ou les environnements qui ne relèvent pas de la portée du présent énoncé peuvent ne pas être classés par ordre de priorité;
  • Toute l'information sur la manière par laquelle vous avez découvert la vulnérabilité, l'impact que vous constatez, vos commentaires sur la cotation CVSS et les mesures correctives proposées contribueront à une interaction plus efficace avec nous;
  • Inclure votre objectif de divulgation auprès de nous ou toute intention de divulgation publique

Ce que vous pouvez vous attendre de nous :

  • Nous accuserons réception de votre message dans les quatre (4) jours ouvrables;
  • Dans la phase suivante du triage et des évaluations initiales, un membre adéquat de l'équipe de sécurité des produits de GE Santé pourrait communiquer avec vous pour:
    • Demander des informations supplémentaires, ou
    • Communiquer un processus et un échéancier prévus, ou
    • Aviser que la vulnérabilité signalée n'est pas acceptée dans le programme parce qu'elle ne correspond pas aux exigences du programme ou qu'elle ne fournit pas suffisamment de détails;
  • Une fois que suffisamment de renseignements auront été recueillis et que le rapport aura été accepté, nous :
    • Poursuivrons l'évaluation du rapport et examinerons la situation avec les équipes de sécurité et d'ingénierie des produits concernées;
    • Communiquerons tout au long du processus d'examen et de correction, avec des attentes claires quant aux échéanciers; et
    • Communiquerons notre conclusion finale;
  • Nous reconnaîtrons publiquement le chercheur en sécurité sur demande et si le rapport est rendu public.

Si nécessaire, GE Santé peut solliciter l'aide d'un tiers neutre pour la résolution de l'examen.

En soumettant une requête, vous acceptez que GE Santé puisse utiliser sans restriction (et permettre à d'autres parties de faire de même) toute donnée ou information que vous fournissez à GE Santé. Votre soumission ne vous confère aucun droit en vertu de la propriété intellectuelle de GE Santé et ne constitue aucune obligation pour GE Santé.