Mettre en place une cybersécurité dans les centres d'imagerie

Cybersécurité
Auteurs
Dr Christian Fortel
Les cyber-attaques récentes sur plusieurs centres hospitaliers en France nous ont rappelé l’importance de mettre en place des mesures de protection de nos systèmes informatiques. Ces attaques ont également ciblé des structures libérales. Cet article se propose de recenser les moyens à mettre en œuvre pour tenter de protéger au mieux nos cabinets d’imagerie.

En pratique, selon la taille de la structure, une solution simple consiste à faire appel à un auditeur externe compétent en cybersécurité. Celui-ci est en mesure de réaliser la cartographie du système informatique, en vue d’établir un plan d’action à mettre en œuvre.

Nos structures sont déjà soumises au respect du règlement RGPD (Règlement Général pour la Protection des Données) depuis 2018. Il s’agit également d’assurer une sécurité informatique pour protéger nos systèmes des intrusions extérieures.

Ces sociétés d’audit externe peuvent réaliser des tests d’intrusion et tester l’ensemble du système informatique. Ils commencent par vérifier la qualité des anti-virus installés dans le système, et la mise à jour régulière des systèmes d’exploitation type windows ou IOS. 

Nombre de recommandations sont proposées :

  • A commencer par la mise en service de comptes nominatifs pour tous les utilisateurs qui vont sur le réseau, avec un mot de passe sécurisé qui doit changer tous les mois (un mot de passe de sécurité élevée est recommandé, par exemple une vingtaine de caractères incluant des majuscules, des minuscules, des caractères spéciaux, et des chiffres ou disposer d’un logiciel type gestionnaire de mot de passe).
  • Il faut penser aussi à installer un système de verrouillage automatique des sessions d’ordinateur et réaliser une sauvegarde régulière des données, afin de pouvoir mettre en route rapidement le réseau dans les suites d’une intrusion. 
  • Une mesure particulièrement importante consiste à cloisonner le système informatique Internet comportant l’ensemble des outils de travail et bien le séparer des postes à utilisation personnelle. En pratique, l’accès à Internet se fera à partir de ces postes dédiés indépendants des postes de travail. Par ailleurs l’accès aux moteurs de recherche ou à la boite mail personnelle peut aussi bien se faire au moyen des téléphones portables ou des tablettes.
  • Ne pas oublier également la formation du personnel sur les risques et les règles de protection informatique, ce qui sera utile non seulement pour la protection des données professionnelles, mais également pour la protection des données personnelles au quotidien. 
  • Il est ainsi recommandé de ne pas utiliser de clé USB ou de disque dur externe sur le système professionnel, d’éteindre les ordinateurs après leur usage, et de débrancher les périphériques inutilisés. Des conseils simples mais efficaces peuvent être rappelés, comme la règle de ne pas ouvrir de pièce jointe dont l’origine est inconnue (qui est une porte d’entrée classique des intrusions pour prendre la main sur le système). 
  • Enfin penser à procéder à un nettoyage régulier des données stockées

Il existe des assurances qui à défaut d’éviter le sinistre, pourront apporter une aide financière parfois salutaire en cas de cyber-attaque malgré les précautions prises car les conséquences pécuniaires peuvent être très conséquentes pour la structure par les pertes d’exploitation qu’elle entraine.

Nos données de santé représentent une valeur marchande ou font l’objet de demandes de rançon. Face à l’augmentation générale de cette cyber-délinquance, les centres d’imagerie déjà sensibilisés au respect du RGPD, doivent protéger au mieux leurs systèmes informatiques, ce qui peut se faire par a réalisation d’un audit externe permettant de mettre en place les moyens de cette protection.

SFR Actu