Cyberstratégie nationale: œuvrer ensemble au renforcement de la résilience numérique
La bourse Six Exchange, à Zurich. Dans des secteurs particulièrement sensibles tels que celui de la finance, la cyberstratégie de la Confédération prévoit la création de centres spécialisés en cybersécurité qui fédèrent les compétences sectorielles et développent des mesures de protection ciblées. (Image: Keystone)
Les cyberattaques n’affectent plus seulement des entreprises et des infrastructures critiques, elles font désormais partie intégrante de notre quotidien numérique. En 2024, l’Office fédéral de la cybersécurité (OFCS) a enregistré près de 63 000 signalements volontaires, soit près de 13 500 de plus que l’année précédente.
Plus de 90% des signalements provenaient de particuliers, ce qui témoigne à la fois d’une augmentation des menaces et d’une sensibilisation accrue de la population. Les tentatives d’escroquerie, l’hameçonnage et les courriels non sollicités («spams») sont les formes de cyberattaques les plus courantes (voir illustration). Quelque 975 000 sites Internet suspects ont été signalés sur le site antiphishing.ch de l’OFCS et plus de 20 000 d’entre eux ont été identifiés comme relevant de l’hameçonnage.
En 2024, les signalements à l’OFCS ont porté principalement sur les tentatives d’escroquerie, l’hameçonnage et les courriels indésirables
GRAPHIQUE INTERACTIF
La réaction de la Suisse
En adoptant en avril 2023 la Cyberstratégie nationale (CSN), le Conseil fédéral a posé les jalons d’une politique de cybersécurité globale et prospective. Contrairement aux deux versions précédentes, la stratégie actuelle n’est pas assortie d’une date butoir. Son objectif prioritaire est de renforcer durablement la cybersécurité par des mesures à long terme. La démarche vise cinq objectifs stratégiques: la responsabilisation de la population, la sécurité des prestations numériques et des infrastructures critiques, la gestion et la défense contre les cyberattaques et, enfin, la lutte contre la cybercriminalité et la coopération internationale.
La coordination est un facteur clé de réussite. L’OFCS joue à cet égard un rôle prépondérant puisqu’il est chargé de coordonner la mise en œuvre de la CSN. Il est également l’organe de signalement des cyberincidents, une plateforme d’information ainsi que le premier interlocuteur des entreprises, des administrations, des établissements de formation et de la population dans ce domaine.
Le comité de pilotage indépendant est un élément organisationnel essentiel de la CSN qui réunit des représentants de la Confédération, des cantons, des milieux économiques et scientifiques et de la société civile. Une composition aussi élargie permet d’intégrer des perspectives multiples et d’affiner la stratégie en permanence.
Du document stratégique à la mise en œuvre
Le premier rapport sur la mise en œuvre de la Cyberstratégie nationale rédigé par le comité de pilotage dresse le bilan des activités menées en 2024. Il met en lumière la création d’importantes structures de coordination, l’avancée de projets en cours et le lancement de nouveaux projets. Citons notamment le programme de prime aux bogues de la Confédération, qui permet d’identifier, avec le concours de pirates éthiques, les vulnérabilités des systèmes et des applications informatiques avant qu’elles ne puissent être exploitées. Depuis son lancement en 2022, ce programme a permis de détecter et de corriger à un stade précoce plus de 400 vulnérabilités liées à la sécurité dans les systèmes publics.
Des centres spécialisés en cybersécurité (CSC) ont été créés dans des secteurs particulièrement sensibles, comme la place financière ou le domaine de la santé. Ils fédèrent les compétences sectorielles et développent des mesures de protection ciblées. Cette approche renforce efficacement la résilience des infrastructures critiques et permet de cibler les risques spécifiques à chaque secteur.
En 2024, une importance particulière a été accordée aux travaux d’introduction de l’obligation de signaler les cyberattaques contre les infrastructures critiques. Entrée en vigueur le 1er avril 2025, celle-ci est la première réglementation intersectorielle dans le domaine de la cybersécurité (voir encadré).
La coordination, une préoccupation permanente
Mais les capacités opérationnelles ne suffisent pas: l’apprentissage stratégique revêt également une importance cruciale. L’organisation de campagnes de sensibilisation ciblées a par exemple permis d’accroître la prise de conscience de la population face aux cyberrisques et de renforcer sa capacité d’action. Parallèlement, la promotion de la formation et de la recherche contribue à favoriser l’émergence de talents dans le domaine de la cybersécurité et, partant, à garantir les besoins en experts à long terme.
Il est par ailleurs essentiel d’assurer un échange structuré et continu entre les autorités et les secteurs concernés, en particulier lors du traitement d’informations sur les menaces actuelles. C’est notamment le rôle de la plateforme Cyber Security Hub (CSH), qui permet à l’OFCS de partager et de coordonner les informations relatives aux cybermenaces, aux incidents et aux pratiques de sécurité. L’office est ainsi en mesure d’évaluer rapidement les risques et d’adapter les mesures de protection en conséquence. Des modèles de réaction bien rodés, des canaux de communication clairs et une compréhension intersectorielle constituent un autre volet important de ces mesures, comme l’ont montré des exercices de gestion de crise menés aux échelons fédéral, cantonal et international.
Parallèlement, la Suisse renforce son rôle sur la scène internationale et procède, par le biais de la «Genève internationale», à des investissements ciblés dans des formats de dialogue, dans le développement de normes et dans des mesures propices à la création d’un climat de confiance. Dans un ordre mondial de plus en plus fragmenté, de tels efforts sont indispensables pour garantir la capacité d’action de notre pays dans le domaine numérique.
La CSN est une stratégie à long terme et structurée. Cela ne l’empêche pas de tenir compte de l’évolution constante de la menace, de l’émergence de nouvelles technologies, d’une complexification croissante des systèmes et du renforcement des interdépendances internationales en misant sur des boucles de rétroaction continues, des cycles de développement courts et une collaboration intersectorielle.
Proposition de citation: Mavrommatis, Bettina (2025). Cyberstratégie nationale: œuvrer ensemble au renforcement de la résilience numérique. La Vie économique, 19 août.
Depuis le 1er avril 2025, les exploitants d’infrastructures critiques dans les domaines de l’énergie, de la santé, de la finance et des télécommunications ont l’obligation de signaler les cyberattaques à l’Office fédéral de la cybersécurité (OFCS) dans les 24 heures qui suivent leur détection. Ces informations permettent à l’OFCS d’obtenir une meilleure appréciation de la situation, de détecter les modes opératoires utilisés lors des attaques tous secteurs confondus et de communiquer rapidement les alertes et les recommandations d’action. L’obligation de signaler les cyberattaques accroît la transparence, renforce la confiance et favorise l’apprentissage stratégique à partir d’incidents réels.
La mise en œuvre s’effectue dans un esprit de coopération: l’OFCS fournit des aides techniques ainsi que de bonnes pratiques et des formulaires de notification normalisés. La phase d’introduction, qui s’étend jusqu’en octobre 2025, doit donner aux acteurs concernés le temps de mettre en place les processus nécessaires. L’application de sanctions n’interviendra qu’à une date ultérieure.
