Cybersécurité

Dans un contexte de transformation digitale, la cybersécurité et la protection des données constituent un enjeu crucial. Fidèle à ses valeurs, bioMérieux s’engage à garantir les conditions d'un environnement digital sûr et éthique.

CONTEXTE

bioMérieux a pris connaissance de vulnérabilités liées à Apache Log4j et suit leurs évolutions. Ces vulnérabilités permettent potentiellement d’effectuer une attaque d’exécution de code à distance. Log4j est une librairie Java open source de journalisation développée par la fondation Apache. Elle est utilisée dans de multiples applications et comme dépendance de nombreux services. bioMérieux investigue actuellement si des produits sont affectés, y compris dans sa franchise BioFire, et mettra la présente alerte à jour au fur et à mesure de l’avancement de ces investigations.

AVIS

bioMérieux a évalué les produits suivants, ou les fonctionnalités des produits développés ou distribués par bioMérieux ou ses filiales et a déterminé qu'ils n'exécutent pas les versions impactées de Log4j divulguées à la date du présent avis : 

  • 3P® SOFTWARE 1.3.3 
  • APIWEB™ 1.4 
  • APIWEB™ Standalone 
  • ATB™ China 2.2.1 
  • CLARION™ / AGILIST™ 
  • BIOMÉRIEUX EPISEQ® CS 1.1 
  • BIOMÉRIEUX EPISEQ® 16S 1.0 
  • BIOMÉRIEUX EPISEQ® SARS-COV-2 1.0 
  • MYLA® Lab Analytics Cloud 1.2 
  • ASTUTE™ 
  • BIOFIRE® SYNDROMIC TRENDS 
  • COPAN Colibrí™ 
  • SecureLink 
  • Corepoint Integration Engine 
Dans le cadre des investigations en cours, bioMérieux continue d’évaluer si d'autres produits ou fonctionnalités de produits bioMérieux utilisent les versions affectées de Log4j et réalise les tests de potentielles actions correctives si nécessaire. Toutes les actions de remédiation pour les produits ou fonctionnalités de bioMérieux potentiellement exposés seront mises à la disposition des clients dès que possible.
 

RECOMMANDATIONS PROVISOIRES

1. Dans la mesure du possible, isoler les systèmes médicaux sur un réseau dédié (LAN/VLAN)

Lorsque vous isolez les dispositifs, suivez les directives de votre service informatique local pour vous assurer que la communication requise est correctement sécurisée.

2. N’exposez jamais les dispositifs médicaux directement à Internet

« Comment améliorer la sécurité des équipements relatifs à l'infrastructure réseau ? »

La Cybersecurity and Infrastructure Security Agency (CISA) encourage les utilisateurs et les administrateurs de réseau à mettre en œuvre les recommandations suivantes pour mieux sécuriser leur infrastructure de réseau :

  • Segmentez et séparez les réseaux et les fonctions.
  • Limiter les communications latérales inutiles.
  • Durcir les dispositifs réseau.
  • Sécuriser l'accès aux dispositifs d'infrastructure.
  • Procéder à la gestion hors bande (OoB) du réseau.
  • Valider l'intégrité du matériel informatique et des logiciels."

Source: https://www.cisa.gov/uscert/ncas/tips/ST18-001

RESSOURCES GÉNÉRALES

1. Recommandations générales pour la sécurisation des équipements réseau :

2. Informations générales Log4j:

https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance

 

Une qualité, une sécurité et une protection de la vie privée alignées

Chez bioMérieux, nous attachons une grande importance à la confidentialité et à l'intégrité des données personnelles et nous plaçons la cybersécurité au cœur de notre activité. Tous les produits et données sont soumis à la politique stricte de bioMérieux en matière de confidentialité et de sécurité. Nos équipes de spécialistes s'attachent en permanence à assurer une protection optimale de toutes les informations de santé et d'identification personnelle (PHI & PII) conformément à toutes les lois internationales applicables en matière de confidentialité et de sécurité. Les produits de bioMérieux sont conçus pour respecter les normes de confidentialité et de sécurité telles que HIPAA, HITECH, 21CFR part11 CLSI (AUTO11-A2), ISO, ANSSI et la récente GDPR, ainsi que les réglementations cliniques et les normes d'intégrité industrielle de la FDA, de l'ANSM et de la NMPA. Pour en savoir plus sur les engagements spécifiques de bioMérieux en matière de confidentialité des données, visitez cette page dédiée.

bioMérieux continue de surveiller et de mettre en œuvre des mesures de sauvegarde, afin d’assurer une protection raisonnable  contre les incidents de sécurité ou les atteintes à la vie privée qui pourraient impliquer un de nos produits. bioMérieux reconnaît qu'un programme de cybersécurité efficace doit couvrir l'ensemble du cycle de vie d'un produit, y compris la formation, les spécifications, la conception, la mise en œuvre, la vérification, la diffusion, l'évaluation des risques, la gestion de la vulnérabilité, les correctifs, la fin de vie d'un produit et l’élimination de toutes les données associées. Au fur et à mesure que les vulnérabilités évoluent et qu’elles sont identifiées, la sécurité de bioMérieux évolue également. Nous vous considérons comme un véritable partenaire dans ce processus. Si vous avez des questions ou des préoccupations, veuillez contacter un représentant de bioMérieux, nous investiguerons le problème et le traiterons si nécessaire.

bioMérieux s'engage à fournir des produits sûrs à ses clients. En plus de respecter des normes de qualité exigeantes pendant les phases de R&D et de post-commercialisation, nous intégrons des mesures de cybersécurité et de confidentialité des données précoces dès la conception, la fabrication, l'évaluation, les tests et la validation des produits en utilisant les pratiques suivantes :

  • protection de la vie privée et sécurité dès la conception,
  • vulnérabilité et évaluation des risques,
  • pratiques de codage et d’analyses sécurisées,
  • contrôle d'accès et gouvernance des données,
  • surveillance de la vulnérabilité après la mise sur le marché et gestion des correctifs,
  • réponse aux incidents de sécurité.

Nous surveillons, analysons, remédions aux vulnérabilités affectant les produits bioMérieux et aidons aidons nos clients à protéger leurs activités tout au long du cycle de vie des produits dans le cadre de notre programme de gestion de la vulnérabilité des produits. Vous pouvez suivre la réponse de bioMérieux aux événements de sécurité à partir de la page des alertes de sécurité. Vous serez également informé directement des informations de sécurité pertinentes pour votre environnement par vos représentants locaux du support bioMérieux.

Afin de maintenir au plus haut le niveau de sécurité, nous avons mis en place des partenariats avec des sociétés comme Thales. Regardez cette interview croisée entre Patrick Lethenet, VP System Development Clinical Unit , bioMérieux et Christian Rivierre, VP systems & software engineering  au sein de la société Thales, notre partenaire clé en matière de cybersécurité.