Déclaration de Divulgation coordonnée de vulnérabilités v2.0 de GE Healthcare

GE Healthcare encourage la recherche responsable en matière de sécurité

GE Healthcare est conscient du rôle important que jouent les chercheurs en sécurité dans la promotion de pratiques de conception sûres et de la limitation des risques pour la sécurité, tant pour l'industrie des dispositifs médicaux que pour le secteur des soins de santé en général. Nous valorisons le travail effectué par les chercheurs en sécurité et les encourageons à collaborer avec nous quant aux vulnérabilités découvertes et à la façon de les divulguer d'une manière coordonnée et responsable. Ce document définit à la fois nos attentes à l'égard des chercheurs qui mènent des recherches sur la sécurité des produits de GE Healthcare dans le cadre de leurs interactions avec nous et avec les autres, et ce à quoi il doivent s’attendre de notre part.

Champ d’application

La présente Déclaration de Divulgation coordonnée de vulnérabilités s'applique à tous les produits de GE Healthcare disponibles sur le marché. L'objectif commun des chercheurs en sécurité et de GE Healthcare devrait toujours être de réduire les risques, en tenant compte de l'ensemble de l'environnement opérationnel impacté par toute vulnérabilité découverte.

Préalables à la déclaration

Les chercheurs en sécurité doivent respecter les exigences préalables suivantes tout au long du processus de recherche et de déclaration, y compris pendant la recherche initiale et les essais :

  • Se conformer à toutes les lois et réglementations applicables de l’établissement et de l'endroit où le produit de GE Healthcare est installé ;
  • Ne pas utiliser une vulnérabilité pour prendre des mesures disproportionnées, telles que l'exploitation d'une vulnérabilité à des fins autre que le fait de prouver son existence, la suppression de données sensibles du produit ou la création d'une faille dans un produit ou l’introduction d'autres vulnérabilités dans un produit en vue de leur exploitation subséquente ;
  • Ne pas effectuer de recherches ou d'essais sur des systèmes qui pourraient entraîner des risques de blessure pour les patients ;
  • Ne pas tester les produits ou l'infrastructure réseau dans des installations cliniques ou tout autre environnement en activité où les produits sont utilisés pour le diagnostic, le traitement, les soins ou le monitorage des patients, ou pourraient être utilisés à ces fins par inadvertance ;
  • Tout produit destiné à une utilisation ultérieure en milieu clinique doit être remis dans son état d’origine une fois les essais terminés. Contacter GE Healthcare pour obtenir une assistance technique ;
  • Veiller à obtenir l’autorisation par écrit du propriétaire du produit GE avant tout essai afin de vous assurer que le champ d’application est bien défini ;
  • Ne pas rendre publics les détails de la vulnérabilité avant l’expiration d’un délai mutuellement convenu avec GE Healthcare ;
  • Ne pas utiliser l'appareil en dehors du champ d’application décrit dans le présent document ; et
  • Fournir sans délai les détails de la communication aux organismes de réglementation ou à d'autres tiers au sujet de toute vulnérabilité découverte.

Comment signaler une vulnérabilité

Pour signaler une vulnérabilité à l'équipe Product Security de GE Healthcare, envoyez un e-mail à (GEHealthcareCVD@GE.com). Veuillez utiliser notre clé PGP ci-dessous, ou d'autres outils de cryptage appropriés, afin de protéger tous les renseignements confidentiels. Veuillez ne pas inclure de renseignements confidentiels (p. ex. données qui permettent d’identifier les patients) dans le corps du message ou dans les pièces jointes (p. ex. captures d'écran, images ou fichiers journaux).

Préférences, priorisations et critères d'acceptation

Ce que nous vous demandons et attendons de vous :

  • Les rapports bien rédigés en anglais ont davantage de chances d’aboutir à une solution ;
  • L'indication de détails essentiels tels que la localisation géographique du produit, le modèle exact et le numéro de série, ainsi que la révision du logiciel et la méthode d'obtention du système, sont des facteurs déterminants pour la priorisation ;
  • Les rapports qui contiennent le code de validation permettent un tri plus efficace ;
  • Les rapports sur les produits ou les environnements qui ne relèvent pas du champ d’application de la présente déclaration sont susceptibles de ne pas être priorisés ;
  • Toutes les informations sur la manière par laquelle vous avez découvert la vulnérabilité, l'impact que vous avez constaté, vos commentaires quant au score CVSS et vos suggestions quant aux mesures correctives à apporter contribueront à l’efficacité de nos interactions ;
  • Inclure la raison pour laquelle vous nous divulguez la vulnérabilité ou toute intention de divulgation publique ; et
  • Ne pas utiliser ce moyen pour signaler des réclamations à propose des produits de GE actuellement utilisés. Toutes les réclamations des clients concernant la sécurité ou les performances d'un produit de GE Healthcare utilisé doivent être adressées directement à un représentant de maintenance service de GE Healthcare.

Ce à quoi vous devez vous attendre de notre part :

  • Nous accuserons réception de votre message dans les quatre (4) jours ouvrables ;
  • Dans la phase suivante de tri et d’évaluation initiale, un membre compétent de l'équipe Product Security de GE Healthcare peut vous contacter pour :
    • Vous demander des informations supplémentaires, ou
    • Vous indiquer le processus et les délais connexes prévus, ou
    • Vous aviser que la vulnérabilité signalée n'est pas acceptée dans le programme parce qu'elle ne correspond pas aux exigences du programme ou que vous n’avez pas fourni assez de détails ;
  • Une fois que suffisamment d’informations auront été recueillies et que le rapport aura été accepté, nous :
    • Poursuivrons l'évaluation du rapport et analyserons la situation avec les équipes de sécurité et d'ingénierie des produits compétentes ;
    • Communiquerons tout au long du processus d'analyse et de correction, avec des attentes claires en termes de délais ; et
    • Vous communiquerons notre conclusion finale ;
  • Nous reconnaîtrons publiquement le chercheur en sécurité (sur demande) et indiquerons si le rapport doit être rendu public.

Si nécessaire, GE Healthcare peut solliciter l'aide d'une tierce partie indépendante pour effectuer l'analyse.

En envoyant une requête, vous acceptez que GE Healthcare puisse utiliser sans restriction (et permettre à d'autres parties de faire de même) toute donnée ou information que vous fournissez à GE Healthcare. Votre envoi ne vous confère aucun droit au regard de la propriété intellectuelle de GE Healthcare et ne constitue aucune obligation pour GE Healthcare.