POLITIQUES PUBLIQUES | L’obligation d’annoncer une cyber-attaque entre en vigueur le 1er avril

Un cadre et une obligation alors que les risques cybernétiques s’accroissent

La nouvelle loi fédérale sur la sécurité de l'information et ses quatre ordonnances d'exécution sont en vigueur depuis bientôt un an. Dès le 1^er avril 2025, ce dispositif sera complété par l'introduction d'une obligation de signaler les cyberattaques visant des infrastructures critiques. Par «infrastructures critiques», on entend les systèmes de services et d'approvisionnement qui sont essentiels à l'économie et aux moyens de subsistance de la population.

Pourquoi une obligation d’annonce?

L'obligation d'annonce aura pour objectif de renforcer la cybersécurité en Suisse:

• Elle permettra à l’Office fédéral de la cybersécurité (OFCS) d'identifier à temps les modes d'attaques contre des infrastructures critiques et d'avertir les entreprises et les entités administratives susceptibles d’être touchées.
• Les signalements permettront également à l’OFCS de recommander des mesures de prévention et de protection appropriées aux entreprises et aux entités administratives.

Une partie des fournisseurs de prestations pour les personnes ayant besoin de soutien comptent au nombre des infrastructures critiques

L'obligation d’annonce s'appliquera aux institutions pour personnes ayant besoin de soutien lorsqu'elles:

• ont été inscrites par les autorités cantonales sur la liste des hôpitaux et autres établissements médicalisés, car elles constituent alors un pan des infrastructures critiques de la Suisse;
• si elles sont considérées en vertu du droit cantonal comme des organes d'exécution des autorités, par exemple parce qu’elles ont signé un contrat de prestations avec les autorités cantonales

La nouvelle obligation d'annonce en bref

Les points clés de l'obligation de signaler les cyber-attaques sont les suivants:

• l’OFCS sera l’instance auprès de laquelle il faudra annoncer les cyber-attaques;
• l’annonce devra être effectuée dans les 24 heures suivant la découverte de la cyber-attaque;
• en signalant une cyberattaque, l’entreprise visée aura droit au soutien de l’OFCS dans la gestion de l'incident;
• l’annonce pourra être faite par voie électronique via le site web de l’OFCS, comme c’est déjà le cas aujourd’hui;
• les incidents pourront ne pas être annoncés s’ils n’entraînent que des dysfonctionnements mineurs.

Plateforme ad hoc pour un échange d'informations sécurisé

Les institutions soumises à l’obligation d'annonce ont en outre accès à une plateforme électronique mise en place par l’OFCS afin de permettre un échange d'informations sécurisé. Pour y accéder, les institutions doivent s'enregistrer. L’OFCS recommande aux institutions de s’enregistrer dès à présent. Elles pourront ainsi accéder à des informations actualisées sur les menaces informatiques et signaler rapidement et efficacement toute cyber-attaque.

Sur requête, l’OFCS indiquera aux entreprises si elles sont effectivement soumises à l'obligation d’annonce; toute attaque pourra quoi qu’il en soit être signalées volontairement, comme c'est déjà le cas aujourd'hui.

Liens et infos supplémentaires

• Site de l’OFCS avec rubrique d’annonce
• OFCS: informations pour les entreprises 
• Plateforme de l’OFCS pour un échange sécurisé d’informations