Mis à jour le 29 mars 2026

Cybersécurité pour les cabinets de radiologie et d’imagerie médicale

Les cabinets de radiologie et d’imagerie médicale figurent parmi les structures de santé les plus exposées aux cybermenaces. Ils combinent des équipements médicaux connectés de haute valeur (IRM, scanners, échographes), des volumes massifs de données de santé et des systèmes d’information complexes. En 2025, l’ANSSI a signalé que 27 % des incidents de cybersécurité dans le secteur de la santé concernaient des structures d’imagerie médicale.

Sommaire

Les vulnérabilités spécifiques de l’imagerie médicale

Un cabinet de radiologie présente une surface d’attaque considérablement plus large qu’un cabinet médical classique. Les équipements d’imagerie fonctionnent souvent sur des systèmes d’exploitation anciens (Windows 7, voire Windows XP) qui ne reçoivent plus de mises à jour de sécurité. Ces équipements sont pourtant connectés au réseau pour transmettre les images au PACS (Picture Archiving and Communication System).

Les vecteurs d’attaque principaux

  • Protocole DICOM non sécurisé : le standard de communication des images médicales a été conçu pour la fonctionnalité, pas pour la sécurité
  • Equipements obsolètes : les constructeurs ne fournissent plus de correctifs pour les systèmes anciens
  • Accès distants mal sécurisés : la téléradiologie nécessite des accès externes qui élargissent la surface d’attaque
  • Manque de segmentation réseau : les équipements médicaux partagent souvent le même réseau que les postes bureautiques
  • Maintenance constructeur : les techniciens des fabricants accèdent à distance aux équipements avec des protocoles parfois peu sécurisés
27 %des incidents cyber santé concernent l’imagerie
3 Tovolume moyen de données d’imagerie par an pour un cabinet
48 hdurée moyenne d’arrêt après une attaque

Protéger le PACS et les données d’imagerie

Le PACS est le coeur du système d’information d’un cabinet de radiologie. Il stocke, archive et distribue les images médicales. Sa compromission signifie la perte potentielle de milliers d’examens et l’impossibilité de travailler.

Architecture de sécurité du PACS

La sécurisation du PACS repose sur plusieurs couches de protection. La première est l’isolation réseau : le PACS doit être sur un VLAN dédié, séparé des postes bureautiques et d’internet. Les flux DICOM doivent être filtrés et ne transiter que par des passerelles contrôlées.

Point clé : Les images DICOM contiennent des métadonnées patient (nom, date de naissance, numéro de sécurité sociale). Une fuite de données DICOM expose non seulement les images médicales mais aussi les données d’identité des patients. L’anonymisation des données DICOM avant tout transfert externe (recherche, second avis) est une obligation légale et technique.

Sauvegarde et archivage

Le volume de données d’imagerie est considérable. Un scanner génère entre 500 et 2 000 images par examen, une IRM entre 1 000 et 5 000. Un cabinet actif produit plusieurs téraoctets de données par an. La stratégie de sauvegarde doit être dimensionnée en conséquence.

L’archivage légal des images médicales impose une conservation de 20 ans pour les adultes et jusqu’aux 28 ans du patient pour les mineurs. Ces durées nécessitent des solutions d’archivage pérennes, avec vérification périodique de l’intégrité des données et migration technologique anticipée.

Sécurité des équipements biomédicaux connectés

Les équipements d’imagerie médicale (scanner, IRM, échographe, mammographe) sont des dispositifs médicaux certifiés. Toute modification logicielle, y compris l’installation d’un antivirus ou d’un correctif de sécurité, peut remettre en cause leur certification CE et la garantie constructeur.

La micro-segmentation réseau

La solution recommandée est la micro-segmentation réseau. Chaque équipement médical est isolé dans son propre segment réseau, avec des règles de pare-feu strictes n’autorisant que les flux nécessaires (DICOM vers le PACS, RIS vers le serveur, maintenance constructeur contrôlée).

Cette approche permet de contenir une éventuelle compromission d’un équipement sans impacter le reste de l’infrastructure. Elle nécessite un pare-feu de nouvelle génération (NGFW) capable de gérer des règles granulaires par équipement et par protocole.

La gestion des accès constructeurs

Les constructeurs d’équipements médicaux (Siemens Healthineers, GE Healthcare, Philips, Canon Medical) ont besoin d’accès distants pour la maintenance et les mises à jour. Ces accès doivent être contrôlés, tracés et limités dans le temps.

  • Accès VPN dédié avec authentification forte
  • Activation uniquement sur demande et pour une durée limitée
  • Journalisation de toutes les connexions et actions
  • Revue régulière des droits d’accès

Conformité HDS et réglementaire

Les cabinets de radiologie sont soumis à un cadre réglementaire dense. L’hébergement des données de santé doit être réalisé par un prestataire certifié HDS. Le RGPD impose des obligations renforcées pour les données de santé. La politique de sécurité doit être formalisée et documentée.

Les exigences HDS pour l’imagerie

La certification HDS (Hébergement de Données de Santé) est obligatoire pour tout hébergeur externe de données de santé. Cela concerne le cloud PACS, les solutions de téléradiologie, les archivages externalisés et les sauvegardes distantes. L’hébergeur doit être certifié par un organisme accrédité COFRAC.

En pratique, le cabinet doit vérifier la certification HDS de chaque prestataire qui manipule des données de santé, du fournisseur de PACS cloud au prestataire de sauvegarde en passant par la plateforme de téléradiologie.

Mettre en place un plan de sécurité adapté

La sécurisation d’un cabinet de radiologie est un projet structuré qui nécessite un accompagnement spécialisé. Le plan de sécurité doit couvrir les aspects techniques, organisationnels et humains.

Les étapes clés

La première étape est l’audit de l’existant : cartographie du réseau, inventaire des équipements, analyse des flux, évaluation des vulnérabilités. Cet audit produit une photographie précise de la situation et identifie les priorités d’action.

Le plan de remédiation priorise les actions selon le niveau de risque. Les mesures immédiates (segmentation réseau, durcissement des accès, sauvegarde sécurisée) sont déployées en premier. Les mesures structurelles (renouvellement d’équipements, mise en place d’un SOC) s’inscrivent dans un calendrier pluriannuel.

La formation du personnel est un pilier du plan de sécurité. Les radiologues, manipulateurs et secrétaires médicales doivent comprendre les risques et adopter les bons réflexes. Une charte informatique spécifique au cabinet formalise les règles applicables.

Questions fréquentes
3 questions
Cela dépend du constructeur et du modèle. Certains constructeurs proposent des solutions antivirus validées pour leurs équipements. D’autres interdisent toute modification logicielle sous peine de perdre la certification CE. Dans tous les cas, l’isolation réseau de l’équipement est une alternative efficace qui ne modifie pas le dispositif médical lui-même.
Oui, la téléradiologie élargit la surface d’attaque en créant des flux de données entre le cabinet et des plateformes externes. Pour limiter les risques, utilisez exclusivement des plateformes certifiées HDS, chiffrez les flux de bout en bout, et mettez en place une authentification forte pour les radiologues distants. Un VPN dédié est préférable à un accès via internet public.
La durée légale de conservation des images médicales est de 20 ans à compter de la date de réalisation de l’examen pour les patients adultes. Pour les patients mineurs, les images doivent être conservées jusqu’à leur 28e anniversaire. Ces durées imposent des solutions d’archivage pérennes et des stratégies de migration technologique pour garantir la lisibilité des données sur le long terme.

Besoin d’accompagnement ?

Odyssix maîtrise les enjeux de cybersécurité spécifiques à l’imagerie médicale. Audit de sécurité, segmentation réseau, conformité HDS : nous protégeons votre cabinet et vos patients contre les cybermenaces.

Contactez nos experts

Services associés

Odyssix peut vous accompagner

Odyssix

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter