Cybersécurité
Mindray souhaite établir un lien de confiance étroit avec ses clients, en les assurant de son engagement envers eux
des normes strictes de sécurité, la sécurité des patients et la protection de leurs informations sensibles.
Notre engagement en matière de cybersécurité
Alors que la dépendance du secteur des soins de santé aux technologies numériques interconnectées s’accro?t, des risques accrus en matière de cybersécurité sont également à prendre en compte. Mindray s’engage à protéger la sécurité des patients, à renforcer l’intégrité de nos dispositifs médicaux et à protéger les données sensibles. En intégrant la protection de la confidentialité et la cybersécurité à chaque étape du cycle de développement de nos produits, nous fournissons de manière responsable des produits et services à la fois innovants et résilients.
Whitepaper sur la cybersécurité des produits Mindray
Chez Mindray, nous nous effor?ons continuellement de mettre en ?uvre les bonnes pratiques en matière de cybersécurité. Obtenez plus d’informations sur notre approche globale et proactive de la cybersécurité.
Lire la suite (PDF)Certifications
Mindray a obtenu les certifications ISO/IEC 27001:2022 et ISO/IEC 27701:2019 pour la gestion complète de la sécurité de l’information et la gestion des informations confidentielles.
En savoir plusL’obtention réussie des certifications ISO constitue une preuve convaincante que nos pratiques commerciales respectent les normes mondiales, garantissant une protection optimale de la confidentialité pour chaque entreprise et individu avec qui nous collaborons.
Notre position en matière de cybersécurité
{{positionList[0].title}}
Mindray est l’un des principaux concepteurs, développeurs et fabricants mondiaux de dispositifs et de solutions médicales, dont l’objectif est de rendre les soins de santé plus accessibles à l’humanité. Depuis sa création en 1991, Mindray s’est focalisé sur l’établissement de trois gammes de produits principales?: Surveillance des patients et réanimation (PMLS), imagerie médicale (MIS) et diagnostic in vitro (DIV). Mindray compte environ 7?500?employés dans le monde entier, répartis entre le siège social situé à Shenzhen, en Chine, et 42?filiales internationales avec des bureaux dans 32?pays, qui soutiennent divers prestataires de soins de santé générateurs de valeur pour la société. L’engagement de l’entreprise envers l’innovation est démontré par ses 12?centres mondiaux de R&D et un investissement de 10?% du chiffre d’affaires annuel dans la recherche et le développement, ce qui en fait un leader de son secteur.
{{positionList[1].title}}
Nos principes et valeurs de sécurité reposent sur un engagement ferme à préserver la sécurité des patients, à renforcer l’intégrité de nos dispositifs médicaux et à protéger les données sensibles. Guidés par les plus hauts standards internationaux et les bonnes pratiques, nous aspirons à la transparence, la responsabilisation et l’amélioration continue. Nos efforts visent à créer un environnement de santé plus s?r et plus fiable, où les technologies de pointe et une sécurité sans compromis s’allient pour protéger et accompagner ceux que nous servons.
Nous intégrons la sécurité et la confidentialité dès la conceptionde nos dispositifs dans notre cycle de développement produit afin d’assurer la continuité sans entrave des services médicaux et de préserver le caractère fondamental de la confidentialité des données.
La confiance repose non seulement sur notre volonté de révéler ce que nous faisons, mais également comment nous le faisons. L’approche transparente de Mindray en matière de cybersécurité donne à nos clients une visibilité totale sur nos pratiques de sécurité. En veillant à ce que nos pratiques de cybersécurité soient claires et transparentes, nous offrons à nos clients la confiance dont ils ont besoin.
Cheng?Minghe
Vice Président, Membre du Mindray Compliance Committee
Chez Mindray, la sécurité fait partie intégrante de l’ADN de chaque appareil que nous créons, garantissant résilience et fiabilité même dans les environnements de santé les plus critiques. La cybersécurité est bien plus qu’une simple fonctionnalité. C’est un principe fondamental à la base de la conception, du développement et du déploiement de chacun de nos dispositifs médicaux.
Li?Zaiwen
Senior Vice Président, Membre du Mindray Compliance Committee
Retour au principe de confidentialité dès la conception
{{positionList[2].title}}
Nous comprenons qu’une sécurité robuste des informations de l’entreprise est fondamentale pour développer et maintenir la confiance en nous et en nos appareils. Une base aussi solide ne peut être établie que par des personnes bien informées et rigoureusement formées, qui con?oivent et fournissent des services et des produits s?rs et fiables.
Entreprise?: une défense stratégique
Maintenir une sécurité d’entreprise robuste avec des plans de réponse aux incidents complets et une infrastructure résiliente, ce qui garantit la stabilité opérationnelle et l’amélioration continue de la protection des systèmes internes et des données.
Collaborateurs?: des protecteurs habilités
Gr?ce à une formation approfondie aux pratiques de sécurité et aux normes de confidentialité, notre personnel maintient et fait progresser notre culture axée sur la sécurité.
Produit?: une innovation sécurisée
Intégration de fonctionnalités de sécurité avancées dans chaque dispositif médical, de la conception au développement, favorisant la confiance et la fiabilité auprès de nos clients.
{{positionList[3].title}}
Nous reconnaissons et respectons l’importance et la valeur de l’adhésion aux normes et certifications internationales pour garantir les plus hauts niveaux de qualité, de sécurité et de cybersécurité des produits.
Les normes et exigences pertinentes auxquelles Mindray se conforme comprennent, sans s’y limiter, TIR57, ISO?14971, ISO?31000, IEC/TR?80001-2-2, les exigences et directives pré et post-commercialisation de la FDA, MDCG?2019-16, les principes et pratiques de l’IMDRF, le Règlement Général sur la Protection des Données (RGPD) européen, la loi américaine sur la portabilité et la responsabilité de l’assurance maladie (HIPAA) ou la loi chinoise sur la protection des informations personnelles (PIPL).
{{positionList[4].title}}
Nous pensons que la cybersécurité dans le secteur de la santé et des dispositifs médicaux est une responsabilité partagée. La nature interconnectée des dispositifs médicaux nécessite une collaboration entre les fabricants et les prestataires de soins de santé afin de garantir des pratiques de cybersécurité solides.
Modèle de cybersécurité des produits
La cybersécurité des produits Mindray est régie par le ??Mindray Product Cybersecurity Model??, un cadre robuste développé en interne pour assurer la protection complète de nos dispositifs médicaux, guider et aligner les efforts de cybersécurité à travers les différentes équipes et divisions de Mindray. Notre modèle est fondé sur les principes du cadre de cybersécurité NIST (CSF), qui met l’accent sur six éléments fondamentaux?: Administrer, identifier, protéger, détecter, répondre et récupérer. En nous appuyant sur cette base reconnue, nous avons adapté notre modèle pour répondre aux défis et aux exigences de l’industrie des dispositifs médicaux.
Modèle de cybersécurité des produits Mindray
{{item.title}}
{{data}}
{{data.title}}
{{modelList[0].title}}
Structure et politique de gouvernance
En rationalisant le processus de prise de décision stratégique et de mise en ?uvre des politiques, nous avons établi des canaux de responsabilité et de communication clairs.
Cadre de gestion des risques
Un cadre solide de gestion des risques constitue la pierre angulaire de la stratégie de cybersécurité de Mindray, nous permettant d’identifier, d’évaluer et d’atténuer les vulnérabilités potentielles en matière de cybersécurité de manière systématique tout au long du cycle de vie du produit.
Contr?le de la conformité aux exigences réglementaires et internes
Chez Mindray, la surveillance de la conformité réglementaire est une composante essentielle de notre stratégie de cybersécurité, garantissant que les normes internes s’alignent sur les exigences réglementaires et les attentes du secteur.
{{modelList[1].title}}
Sécurité dès la conception
La sécurité dès la conception est l’idéologie fondamentale de Mindray qui intègre les principes et les exigences de sécurité dès le départ et à chaque étape du développement du produit.
Pratiques de codage sécurisées et contr?les de qualité
En nous appuyant sur les principes de la sécurité dès la conception, nous avons établi des normes de codage sécurisé complètes et systématiques basées sur les normes de la Commission électrotechnique internationale (CEI), les meilleures pratiques du secteur et notre vaste expérience en développement logiciel.
Nous considérons le contr?le des processus et les normes d’assurance qualité comme des éléments clés d’un codage s?r.
Nous mettons l’accent sur l’amélioration continue et le partage des connaissances entre les développeurs.
?valuation et tests de sécurité
Parallèlement aux pratiques de codage sécurisé, Mindray mène des évaluations et des tests de sécurité rigoureux pour s’assurer que les vulnérabilités potentielles sont identifiées et atténuées, et que les mesures de sécurité mises en ?uvre sont testées et validées.
{{modelList[2].title}}
Contr?le d’accès
Nos dispositifs médicaux sont équipés d’une fonctionnalité de contr?le d’accès basé sur les r?les (RBAC), qui attribue les autorisations d’accès en fonction des r?les des utilisateurs individuels au sein de l’organisation. Parmi les mesures de protection supplémentaires pour renforcer la sécurité d’accès figurent les mécanismes de verrouillage, la déconnexion automatique, la gestion des mots de passe, l’authentification Wi-Fi, l’authentification centralisée et sécurisée et le contr?le des modifications de configuration.
Durcissement des systèmes et contr?les de configuration
Le durcissement des systèmes est une autre étape cruciale pour renforcer nos appareils en minimisant la surface d’attaque. Les composants clés des pratiques de durcissement des systèmes de Mindray, bien qu’ils puissent varier selon le modèle, comprennent les directives de durcissement du système d’exploitation, la liste des applications et des processus autorisés, les programmes antivirus et anti-malware, le pare-feu, la désactivation des vecteurs de risque inutiles, le mode kiosque, le contr?le du système d’exploitation et des mises à jour logicielles.
Partage transparent de l’information
Nous nous effor?ons d’améliorer sans rel?che notre engagement à maintenir la transparence sur les mesures de sécurité mises en ?uvre dans nos dispositifs. Nos principaux efforts visant à promouvoir la transparence comprennent notamment?: Des livres blancs sur la cybersécurité, des manuels d’utilisation des produits, la déclaration du fabricant sur la sécurité des dispositifs médicaux (MDS2), la nomenclature des logiciels (SBOM), l’aide à l’élaboration de plans de déploiement.
{{modelList[3].title}}
Vulnérabilité post-commercialisation et gestion des correctifs
Les produits Mindray utilisent des systèmes d’exploitation tiers, tels que Microsoft Windows et Linux. Pour garantir que l’utilisation de ces systèmes d’exploitation ne présente aucun risque, nous avons développé une stratégie complète de gestion des correctifs pour surveiller en permanence les vulnérabilités pertinentes, évaluer leur impact sur nos dispositifs et déployer des correctifs pour résoudre ces problèmes.
Support fin de vie et déclassement
Nous fournissons à nos clients de manière proactive des lettres détaillées de fin de vie (EOL) lorsqu’un produit arrive en fin de vie utile.
Nous assistons et permettons aux prestataires de soins de santé de désaffecter leurs appareils en toute sécurité en fournissant des conseils en personne ou des manuels d’utilisation sur les pratiques d’élimination sécurisée, comme des instructions sur la procédure d’effacement des données.
Gestion des incidents
Intervention et support en cas d’incident
Mindray a mis en place des équipes dédiées pour superviser le processus de réponse aux incidents, surveiller et étudier en continu les incidents émergents susceptibles d’affecter nos appareils. En cas d’incidents de sécurité détectés ou signalés, les équipes, en collaboration avec les unités opérationnelles, évaluent les risques, élaborent des plans d’intervention et mettent en ?uvre des mesures correctives. Des directives relatives à la réponse aux incidents de cybersécurité ont été établies pour permettre une approche normalisée et unifiée entre les différentes parties prenantes. Dans le cas du reporting réglementaire obligatoire, nous travaillons en étroite collaboration avec les autorités compétentes pour assurer une communication précise et opportune. Tout au long du processus, nous maintenons une communication étroite avec nos clients en travaillant ensemble pour évaluer rapidement la situation et mettre en ?uvre les mesures correctives nécessaires afin de minimiser l’impact et maintenir la sécurité des appareils.
Les dispositifs médicaux de Mindray sont dotés de fonctions qui assurent la continuité des activités, même en cas d’incidents liés à la cybersécurité. En fonction de leur capacité, certains dispositifs utilisent des mécanismes tels que le ??backfilling?? et la synchronisation des données pour garantir qu’aucune information critique sur les patients n’est perdue pendant les pannes de réseau. Certains appareils sont également dotés de plusieurs connexions réseau afin d’isoler les risques entre l’appareil et le réseau de l’h?pital. En outre, le fait de fonctionner dans un environnement de réseau à la fois c?blé et sans fil assure que, même si l’un des dispositifs du réseau tombe en panne, les dispositifs peuvent continuer à fonctionner normalement.
Protection des données
Confidentialité dès la conception
Mindray s’appuie sur les normes internationales et les meilleures pratiques du secteur pour mettre en place un système de gestion de la sécurité de l’information et de protection de la confidentialité axé sur les risques.
Mindray a intégré les principes fondamentaux de confidentialité dès la conception et de confidentialité par défaut dans le processus de développement des produits. Ces principes sont intégrés dès les premières phases de conception et de planification du développement du produit, en appliquant les lignes directrices de référence pour les autorisations, la journalisation, le chiffrement et l’anonymisation, etc.
?valuation de l’impact sur la confidentialité
Nous avons introduit l’’évaluation de l’impact sur la confidentialité (Privacy Impact Assessment ou PIA) dans le processus de développement des produits afin de garantir la mise en ?uvre de mesures de contr?le efficaces, selon les exigences de conformité pertinentes.
Nous avons également publié un livre blanc RGPD détaillé, un aper?u de la gouvernance d’entreprise, des contr?les internes et des mécanismes de traitement des données personnelles de Mindray, en gage de notre volonté de maintenir des normes élevées en matière de sécurité et de confidentialité des données.
Chiffrement des données
Mindray utilise des méthodes de chiffrement complètes con?ues pour sécuriser les données en transit et au repos. Chaque ligne de produits Mindray utilise les protocoles et les méthodes les plus adaptés à leur propre conception et à leurs besoins commerciaux spécifiques, garantissant ainsi une protection adéquate de toutes les données.
Traitement des données pendant la maintenance
Mindray fournit des conseils complets aux prestataires de soins de santé sur la gestion sécurisée des données pendant la maintenance. Par ailleurs, notre personnel adopte des mesures strictes de contr?le d’accès, selon le principe du moindre privilège.
