Obligation de signaler les cyberattaques contre les infrastructures critiques

Le 23 décembre 2015, l’Ukraine a été victime d’une coupure électrique qui a plongé dans le noir près de 230 000 personnes. Des pirates informatiques vraisemblablement à la solde des services secrets russes ont attaqué les systèmes informatiques des fournisseurs d’électricité, mettant à l’arrêt 30 sous-stations. Depuis ce premier cas documenté de cyberattaque mettant hors service un réseau électrique, des attaques de ce type se sont répétées à plusieurs reprises, à l’instar de celle qui, en 2021, a utilisé un rançongiciel pour paralyser le plus grand oléoduc des États-Unis, entraînant des pénuries de carburant qui ont affecté des régions entières.

Ces exemples montrent que si les infrastructures critiques étaient autrefois physiquement isolées et qu’on ne pouvait les saboter que sur place, elles peuvent être aujourd’hui attaquées de partout dans le monde, par le biais de systèmes de commande en ligne et d’interfaces réseau. Les cyberattaques contre les infrastructures critiques (approvisionnement en énergie, services de santé ou services financiers, par exemple) peuvent nuire massivement à l’économie et à la société, et la Suisse n’y échappe pas. L’Office fédéral de la cybersécurité a pour mission de renforcer la cybersécurité des infrastructures critiques. Le 1^er avril 2025, le Conseil fédéral a instauré une obligation de signaler les cyberattaques afin d’obtenir une meilleure vue d’ensemble de la situation de menace et d’avertir suffisamment tôt les exploitants d’infrastructures critiques.

De la déclaration volontaire à la déclaration obligatoire

Jusqu’à l’entrée en vigueur du signalement obligatoire, la Suisse a misé sur le signalement volontaire: les exploitants d’infrastructures critiques, dont nombre d’entre eux entretenaient une étroite relation de confiance avec l’Office fédéral de la cybersécurité avant même cette instauration, pouvaient signaler à celui-ci les cyberattaques. Cette coopération a facilité la mise en place réussie de l’obligation de signaler.

L’obligation de signalement a été instaurée dans le cadre de la révision de la loi sur la sécurité de l’information: les exploitants d’infrastructures critiques doivent signaler toute cyberattaque à l’Office fédéral de la cybersécurité dans les 24 heures suivant sa détection. Au total, 164 signalements ont déjà été transmis à celui-ci au cours des six premiers mois, soit un signalement par jour en moyenne. À ce jour, le secteur financier, suivi de la branche informatique et du secteur de l’énergie, est le plus touché. Des signalements ont aussi émané des autorités, du secteur de la santé, d’entreprises de télécommunication de même que, sporadiquement, du secteur postal, de celui des transports ainsi que de la branche des médias, de l’alimentation et des technologies[1].

L’approche suisse: priorité donnée à la détection précoce

Sur le plan international, on observe une tendance claire à un durcissement des prescriptions en matière de cybersécurité. Dès 2023, l’UE a renforcé les règles en adoptant la directive SRI 2. Quelque 29 000 entreprises issues de 18 secteurs doivent mettre en œuvre des mesures de sécurité étendues: gestion des risques, mise en place de mesures de protection techniques et sécurisation de leurs chaînes d’approvisionnement. Les autorités de l’UE veillent au respect de ces dispositions. L’entreprise qui ne s’y tient pas doit payer une amende pouvant atteindre 10 millions d’euros ou 2% de son chiffre d’affaires mondial.

La Suisse adopte une autre approche. La nouvelle obligation de signaler vise principalement à permettre à l’Office fédéral de la cybersécurité de détecter à un stade précoce les modes opératoires utilisés lors des attaques et, ainsi, d’avertir en temps utile les victimes potentielles. Le Conseil fédéral a d’emblée clarifié la situation: l’Office fédéral de la cybersécurité ne surveille pas les entreprises et ne leur impose pas des mesures de protection[2]. Il s’agit uniquement de signaler les attaques. Les infractions sont passibles d’une amende de 100 000 francs au plus. En outre, les sanctions sont délibérément modérées: des amendes ne sont infligées aux organisations qu’en dernier recours et seulement si des demandes répétées ont été intentionnellement ignorées.

Il existe donc une différence fondamentale entre l’UE et la Suisse: alors que la première impose aux entreprises les mesures de sécurité qu’elles doivent prendre pour prévenir des attaques, la seconde donne la priorité à la détection précoce des attaques et à l’avertissement des victimes potentielles.

Qui est assujetti à l’obligation de signaler?

L’obligation de signaler s’applique à de nombreuses organisations diverses et variées. À cet égard, la loi sur la sécurité de l’information, qui s’inspire de la Stratégie nationale pour la protection des infrastructures critiques 2018-2022, établit une liste de 21 catégories, dont font notamment partie les hautes écoles ainsi que les autorités fédérales, cantonales et communales. Dans le domaine de la sécurité et de la santé, les services de sauvetage, les hôpitaux et les laboratoires médicaux sont soumis à l’obligation de signaler. Les fournisseurs d’énergie, comme les fournisseurs d’électricité, et les entreprises de transport, telles que les entreprises ferroviaires ou de transport par bus, sont aussi concernés, ainsi que, dans le domaine de la finance et des communications, les banques, les médias et les opérateurs téléphoniques. Enfin, s’agissant des infrastructures numériques, les exploitants de domaines Internet, les fournisseurs de services nuagiques et les fabricants de matériel et de logiciels y sont également assujettis.

L’ordonnance sur la cybersécurité prévoit des exceptions détaillées pour que la réglementation demeure proportionnée. Les petites organisations sont ainsi exemptées de l’obligation de signaler si une cyberattaque dont elles feraient l’objet n’aurait que des conséquences minimes pour l’économie et la population. C’est ainsi que, dans le domaine de la formation, les hautes écoles comptant moins de 2000 étudiants sont exemptées, tandis que, dans le secteur de l’énergie, les gestionnaires de réseau de moindre taille et les fournisseurs en gaz qui n’atteignent pas certains volumes bénéficient eux aussi d’une exemption. L’obligation de signaler ne s’applique pas non plus aux entreprises de transport qui n’assument pas de tâches systémiques ou qui ne proposent pas des offres commandées conjointement par la Confédération et les cantons, ni aux fournisseurs et exploitants de services nuagiques, de services numériques de sécurité et de confiance ainsi que de centres de calcul, dont le siège est en Suisse et qui travaillent exclusivement pour leur propre organisation.

Les établissements et les entreprises opérant dans les domaines de la santé, de la fourniture de médicaments, des services postaux et de l’approvisionnement de base de la population en biens indispensables sont en outre soumis à une réglementation générale applicable aux petites entreprises: les organisations employant moins de 50 personnes et dont le chiffre d’affaires annuel est inférieur à 10 millions de francs sont exemptes de l’obligation de signaler. Ces exemptions différenciées montrent que cette obligation est limitée aux organisations dont la défaillance aurait effectivement des effets considérables sur la société.

Que faut-il signaler?

Les cyberattaques ne doivent pas toutes être signalées, la loi mentionnant quatre critères pour le signalement. Premièrement, lorsque le fonctionnement de l’infrastructure critique est mis en péril, c’est-à-dire lorsque les systèmes tombent en panne et que l’organisation doit se rabattre sur des plans d’urgence pour poursuivre son activité. Deuxièmement, lorsque des personnes non autorisées ont accès à des données importantes ou que la sécurité des données est violée. Troisièmement, lorsqu’une attaque n’a pas été détectée pendant une période prolongée (90 jours) et que d’autres attaques pourraient ainsi se préparer. Quatrièmement, en cas de chantage, c’est-à-dire lorsque les agresseurs font acte de chantage, de menaces ou de contrainte, par exemple en recourant à un rançongiciel[3]. En revanche, les dysfonctionnements techniques et les problèmes informatiques normaux ne sont pas soumis à l’obligation de signaler, car il ne s’agit pas d’attaques intentionnelles.

Les organisations sont tenues de signaler une attaque à l’Office fédéral de la cybersécurité dans les 24 heures suivant sa détection. Idéalement, elles le font en passant par un système électronique sécurisé, le Cyber Security Hub, qui garantit un traitement rapide du signalement. Si toutes les informations ne sont pas immédiatement disponibles, les organisations ont 14 jours pour compléter leur signalement. Ce règlement en deux étapes tient compte du temps qu’il faut pour comprendre les attaques complexes. Le signalement doit nommer l’organisation concernée, décrire le type et l’exécution de l’attaque ainsi que ses effets et exposer les mesures déjà prises. Tout en restant juridiquement responsables, les organisations peuvent aussi confier le signalement à des entreprises spécialisées dans la sécurité informatique.

Les entités signalant une attaque reçoivent en outre le soutien de l’Office fédéral de la cybersécurité, qui peut réaliser des analyses techniques, apporter ses conseils pour l’élimination des vulnérabilités et avertir les victimes potentielles. Ce soutien leur procure un bénéfice direct.

1. Voir le communiqué de presse de l’Office fédéral de la cybersécurité du 29 septembre 2025. []
2. Voir Message du Conseil fédéral relatif à la modification de la loi sur la sécurité de l’information, p. 33. []
3. Une attaque par rançongiciel (ransomware) est une cyberattaque consistant à crypter des données ou des systèmes pour empêcher d’y accéder. Les agresseurs demandent alors une rançon (ransom) en échange du déblocage de l’accès aux données. []