Déclaration de Divulgation coordonnée de vulnérabilités v2.1 de GE Santé
Mise à jour en août 2023
GE Santé encourage la recherche responsable en matière de sécurité
GE Santé est consciente du rôle important que jouent les chercheurs en sécurité dans la promotion de pratiques de conception sûres et de la limitation des risques pour la sécurité, tant pour l'industrie des dispositifs médicaux que pour le secteur des soins de santé en général. Nous valorisons le travail effectué par les chercheurs en sécurité et les encourageons à collaborer avec nous quant aux vulnérabilités découvertes et à la façon de les divulguer d'une manière coordonnée et responsable. Ce document définit à la fois nos attentes à l'égard des chercheurs qui mènent des recherches sur la sécurité des produits de GE Santé dans le cadre de leurs interactions avec nous et avec les autres, et ce à quoi il doivent s’attendre de notre part.
Objectif
L'objectif du programme de divulgation coordonnée des vulnérabilités de GE Santé est de coordonner l'enquête et la divulgation des nouvelles vulnérabilités potentielles des produits GE Santé. L'objectif commun des chercheurs en sécurité et de GE Santé devrait toujours être de réduire les risques, en tenant compte de l'ensemble de l'environnement opérationnel impacté par toute vulnérabilité découverte.
Champ d’application
La présente Déclaration de Divulgation coordonnée de vulnérabilités s'applique à tous les produits de GE Santé disponibles sur le marché.
Ce processus doit être utilisé pour signaler les nouvelles vulnérabilités potentielles des produits de GE Santé. Les vulnérabilités dans les systèmes d'exploitation et autres composants tiers ne doivent pas être signalées via ce processus.
Préalables à la déclaration
Les chercheurs en sécurité doivent respecter les exigences préalables suivantes tout au long du processus de recherche et de déclaration, y compris pendant la recherche initiale et les essais :
- Se conformer à toutes les lois et réglementations applicables de l’établissement et de l'endroit où le produit de GE Santé est installé;
- Ne pas utiliser une vulnérabilité pour prendre des mesures disproportionnées, telles que l'exploitation d'une vulnérabilité à des fins autres que le fait de prouver son existence, la suppression de données sensibles du produit ou la création d'une faille dans un produit ou l’introduction d'autres vulnérabilités dans un produit en vue de leur exploitation subséquente;
- Ne pas effectuer de recherches ou d'essais sur des systèmes qui pourraient entraîner des risques de blessure pour les patients;
- Ne pas tester les produits ou l'infrastructure réseau dans des installations cliniques ou tout autre environnement en activité où les produits sont utilisés pour le diagnostic, le traitement, les soins ou le monitorage des patients, ou pourraient être utilisés à ces fins par inadvertance;
- Tout produit destiné à une utilisation ultérieure en milieu clinique doit être remis dans son état d’origine une fois les essais terminés. Contacter GE Santé pour obtenir une assistance technique;
- Veiller à obtenir l’autorisation par écrit du propriétaire du produit de GE Santé avant tout essai afin de s’assurer que le champ d’application est bien défini; Si le produit est loué à GE Santé, l'autorisation doit être obtenue à la fois auprès de GE Santé et du locataire;
- Ne pas rendre publics les détails de la vulnérabilité avant l’expiration d’un délai mutuellement convenu avec GE Santé;
- Ne pas utiliser le dispositif en dehors du champ d’application décrit dans le présent document; et
- Fournir sans délai les détails de la communication aux organismes de réglementation ou à d'autres tiers au sujet de toute vulnérabilité découverte.
Comment signaler une vulnérabilité
Pour signaler une vulnérabilité à l'équipe Product Security de GE Santé, envoyez un courriel à (Cvd@gehealthcare.com). Veuillez utiliser notre clé PGP ci-dessous, ou d'autres outils de chiffrement appropriés, afin de protéger tous les renseignements confidentiels. Veuillez ne pas inclure de renseignements confidentiels (p. ex. données qui permettent d’identifier les patients) dans le corps du message ou dans les pièces jointes (p. ex. captures d'écran, images ou fichiers journaux).
Ce courriel CVD ne doit pas être utilisé pour des demandes liées à des vulnérabilités déjà divulguées ou des vulnérabilités concernant des composants tiers (autres que des vulnérabilités du logiciel du produit GE Santé). Les informations relatives aux vulnérabilités précédemment divulguées sont disponibles sur le Portail dédié à la sécurité des produits GE Santé et peuvent être demandées auprès d'un représentant de maintenance GE Santé.
Préférences, priorisations et critères d'acceptation
Ce que nous vous demandons et attendons de vous :
- Les rapports bien rédigés en anglais ont davantage de chances d’aboutir à une solution;
- L'indication de détails essentiels tels que la localisation géographique du produit, le modèle exact et le numéro de série, ainsi que la révision du logiciel et la méthode d'obtention du système, sont des facteurs déterminants pour la priorisation;
- Les rapports qui contiennent le code de validation permettent un tri plus efficace;
- Les rapports sur les produits ou les environnements qui ne relèvent pas du champ d’application de la présente déclaration sont susceptibles de ne pas être priorisés;
- Toutes les informations sur la manière par laquelle vous avez découvert la vulnérabilité, l'impact que vous avez constaté, vos commentaires quant au score CVSS et vos suggestions quant aux mesures correctives à apporter, contribueront à l’efficacité de nos interactions;
- Inclure la raison pour laquelle vous nous divulguez la vulnérabilité ou toute intention de divulgation publique; et
- Ne pas utiliser ce moyen pour signaler des réclamations à propos des produits de GE actuellement utilisés. Toutes les réclamations des clients concernant la sécurité ou les performances d'un produit de GE Santé utilisé doivent être adressées directement à un représentant de maintenance de GE Santé.
Ce à quoi vous devez vous attendre de notre part :
- Nous accuserons réception de votre message dans les quatre (4) jours ouvrables ;
- Dans la phase suivante de tri et d’évaluation initiale, un membre compétent de l'équipe Product Security de GE Santé peut vous contacter pour :
- Vous demander des informations supplémentaires, ou
- Vous indiquer le processus et les délais connexes prévus, ou
- Vous aviser que la vulnérabilité signalée n'est pas acceptée dans le programme parce qu'elle ne correspond pas aux exigences du programme ou que vous n’avez pas fourni assez de détails;
- Une fois que suffisamment d’informations auront été recueillies et que le rapport aura été accepté, nous :
- Poursuivrons l'évaluation du rapport et analyserons la situation avec les équipes de sécurité et d'ingénierie des produits compétentes;
- Communiquerons tout au long du processus d'analyse et de correction, avec des attentes claires en termes de délais; et
- Vous communiquerons notre conclusion finale;
- GE Santé est une autorité de numérotation CVE (CNA) de la MITRE Corporation et peut créer ses propres identifiants CVE et NVD à des fins de divulgation si nécessaire.
- Nous reconnaîtrons publiquement le chercheur en sécurité (sur demande) et indiquerons si le rapport doit être rendu public.
Si nécessaire, GE Santé peut solliciter l'aide d'une tierce partie indépendante pour la résolution du rapport.
En envoyant une requête, vous acceptez que GE Santé puisse utiliser sans restriction (et permettre à d'autres parties de faire de même) toute donnée ou information que vous fournissez à GE Santé. Votre envoi ne vous confère aucun droit au regard de la propriété intellectuelle de GE Santé et ne constitue aucune obligation pour GE Santé.