Le 23\u00a0d\u00e9cembre 2015, l\u2019Ukraine a \u00e9t\u00e9 victime d\u2019une coupure \u00e9lectrique qui a plong\u00e9 dans le noir pr\u00e8s de 230\u00a0000\u00a0personnes. Des pirates informatiques vraisemblablement \u00e0 la solde des services secrets russes ont attaqu\u00e9 les syst\u00e8mes informatiques des fournisseurs d\u2019\u00e9lectricit\u00e9, mettant \u00e0 l\u2019arr\u00eat 30\u00a0sous-stations. Depuis ce premier cas document\u00e9 de cyberattaque mettant hors service un r\u00e9seau \u00e9lectrique, des attaques de ce type se sont r\u00e9p\u00e9t\u00e9es \u00e0 plusieurs reprises, \u00e0 l\u2019instar de celle qui, en 2021, a utilis\u00e9 un ran\u00e7ongiciel pour paralyser le plus grand ol\u00e9oduc des \u00c9tats-Unis, entra\u00eenant des p\u00e9nuries de carburant qui ont affect\u00e9 des r\u00e9gions enti\u00e8res.<\/p>\n
Ces exemples montrent que si les infrastructures critiques \u00e9taient autrefois physiquement isol\u00e9es et qu\u2019on ne pouvait les saboter que sur place, elles peuvent \u00eatre aujourd\u2019hui attaqu\u00e9es de partout dans le monde, par le biais de syst\u00e8mes de commande en ligne et d\u2019interfaces r\u00e9seau. Les cyberattaques contre les infrastructures critiques (approvisionnement en \u00e9nergie, services de sant\u00e9 ou services financiers, par exemple) peuvent nuire massivement \u00e0 l\u2019\u00e9conomie et \u00e0 la soci\u00e9t\u00e9, et la Suisse n\u2019y \u00e9chappe pas. L\u2019Office f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9 a pour mission de renforcer la cybers\u00e9curit\u00e9 des infrastructures critiques. Le 1er<\/sup>\u00a0avril 2025, le Conseil f\u00e9d\u00e9ral a instaur\u00e9 une obligation de signaler les cyberattaques afin d\u2019obtenir une meilleure vue d\u2019ensemble de la situation de menace et d\u2019avertir suffisamment t\u00f4t les exploitants d\u2019infrastructures critiques.<\/p>\n Jusqu\u2019\u00e0 l\u2019entr\u00e9e en vigueur du signalement obligatoire, la Suisse a mis\u00e9 sur le signalement volontaire: les exploitants d\u2019infrastructures critiques, dont nombre d\u2019entre eux entretenaient une \u00e9troite relation de confiance avec l\u2019Office f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9 avant m\u00eame cette instauration, pouvaient signaler \u00e0 celui-ci les cyberattaques. Cette coop\u00e9ration a facilit\u00e9 la mise en place r\u00e9ussie de l\u2019obligation de signaler.<\/p>\n L\u2019obligation de signalement a \u00e9t\u00e9 instaur\u00e9e dans le cadre de la r\u00e9vision de la loi sur la s\u00e9curit\u00e9 de l\u2019information: les exploitants d\u2019infrastructures critiques doivent signaler toute cyberattaque \u00e0 l\u2019Office f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9 dans les 24\u00a0heures suivant sa d\u00e9tection. Au total, 164\u00a0signalements ont d\u00e9j\u00e0 \u00e9t\u00e9 transmis \u00e0 celui-ci au cours des six premiers mois, soit un signalement par jour en moyenne. \u00c0 ce jour, le secteur financier, suivi de la branche informatique et du secteur de l\u2019\u00e9nergie, est le plus touch\u00e9. Des signalements ont aussi \u00e9man\u00e9 des autorit\u00e9s, du secteur de la sant\u00e9, d\u2019entreprises de t\u00e9l\u00e9communication de m\u00eame que, sporadiquement, du secteur postal, de celui des transports ainsi que de la branche des m\u00e9dias, de l\u2019alimentation et des technologies[1]<\/a>.<\/p>\n Sur le plan international, on observe une tendance claire \u00e0 un durcissement des prescriptions en mati\u00e8re de cybers\u00e9curit\u00e9. D\u00e8s 2023, l\u2019UE a renforc\u00e9 les r\u00e8gles en adoptant la directive SRI\u00a02<\/a>. Quelque 29\u00a0000\u00a0entreprises issues de 18\u00a0secteurs doivent mettre en \u0153uvre des mesures de s\u00e9curit\u00e9 \u00e9tendues: gestion des risques, mise en place de mesures de protection techniques et s\u00e9curisation de leurs cha\u00eenes d\u2019approvisionnement. Les autorit\u00e9s de l\u2019UE veillent au respect de ces dispositions. L\u2019entreprise qui ne s\u2019y tient pas doit payer une amende pouvant atteindre 10\u00a0millions d\u2019euros ou 2% de son chiffre d\u2019affaires mondial.<\/p>\n La Suisse adopte une autre approche. La nouvelle obligation de signaler vise principalement \u00e0 permettre \u00e0 l\u2019Office f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9 de d\u00e9tecter \u00e0 un stade pr\u00e9coce les modes op\u00e9ratoires utilis\u00e9s lors des attaques et, ainsi, d\u2019avertir en temps utile les victimes potentielles. Le Conseil f\u00e9d\u00e9ral a d\u2019embl\u00e9e clarifi\u00e9 la situation: l\u2019Office f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9 ne surveille pas les entreprises et ne leur impose pas des mesures de protection[2]<\/a>. Il s\u2019agit uniquement de signaler les attaques. Les infractions sont passibles d\u2019une amende de 100\u00a0000\u00a0francs au plus. En outre, les sanctions sont d\u00e9lib\u00e9r\u00e9ment mod\u00e9r\u00e9es: des amendes ne sont inflig\u00e9es aux organisations qu\u2019en dernier recours et seulement si des demandes r\u00e9p\u00e9t\u00e9es ont \u00e9t\u00e9 intentionnellement ignor\u00e9es.<\/p>\n Il existe donc une diff\u00e9rence fondamentale entre l\u2019UE et la Suisse: alors que la premi\u00e8re impose aux entreprises les mesures de s\u00e9curit\u00e9 qu\u2019elles doivent prendre pour pr\u00e9venir des attaques, la seconde donne la priorit\u00e9 \u00e0 la d\u00e9tection pr\u00e9coce des attaques et \u00e0 l\u2019avertissement des victimes potentielles.<\/p>\n L\u2019obligation de signaler s\u2019applique \u00e0 de nombreuses organisations diverses et vari\u00e9es. \u00c0 cet \u00e9gard, la loi sur la s\u00e9curit\u00e9 de l\u2019information, qui s\u2019inspire de la Strat\u00e9gie nationale pour la protection des infrastructures critiques 2018-2022<\/a>, \u00e9tablit une liste de 21 cat\u00e9gories, dont font notamment partie les hautes \u00e9coles ainsi que les autorit\u00e9s f\u00e9d\u00e9rales, cantonales et communales. Dans le domaine de la s\u00e9curit\u00e9 et de la sant\u00e9, les services de sauvetage, les h\u00f4pitaux et les laboratoires m\u00e9dicaux sont soumis \u00e0 l\u2019obligation de signaler. Les fournisseurs d\u2019\u00e9nergie, comme les fournisseurs d\u2019\u00e9lectricit\u00e9, et les entreprises de transport, telles que les entreprises ferroviaires ou de transport par bus, sont aussi concern\u00e9s, ainsi que, dans le domaine de la finance et des communications, les banques, les m\u00e9dias et les op\u00e9rateurs t\u00e9l\u00e9phoniques. Enfin, s\u2019agissant des infrastructures num\u00e9riques, les exploitants de domaines Internet, les fournisseurs de services nuagiques et les fabricants de mat\u00e9riel et de logiciels y sont \u00e9galement assujettis.<\/p>\n L\u2019ordonnance sur la cybers\u00e9curit\u00e9 pr\u00e9voit des exceptions d\u00e9taill\u00e9es pour que la r\u00e9glementation demeure proportionn\u00e9e. Les petites organisations sont ainsi exempt\u00e9es de l\u2019obligation de signaler si une cyberattaque dont elles feraient l\u2019objet n\u2019aurait que des cons\u00e9quences minimes pour l\u2019\u00e9conomie et la population. C\u2019est ainsi que, dans le domaine de la formation, les hautes \u00e9coles comptant moins de 2000 \u00e9tudiants sont exempt\u00e9es, tandis que, dans le secteur de l\u2019\u00e9nergie, les gestionnaires de r\u00e9seau de moindre taille et les fournisseurs en gaz qui n\u2019atteignent pas certains volumes b\u00e9n\u00e9ficient eux aussi d\u2019une exemption. L\u2019obligation de signaler ne s\u2019applique pas non plus aux entreprises de transport qui n\u2019assument pas de t\u00e2ches syst\u00e9miques ou qui ne proposent pas des offres command\u00e9es conjointement par la Conf\u00e9d\u00e9ration et les cantons, ni aux fournisseurs et exploitants de services nuagiques, de services num\u00e9riques de s\u00e9curit\u00e9 et de confiance ainsi que de centres de calcul, dont le si\u00e8ge est en Suisse et qui travaillent exclusivement pour leur propre organisation.<\/p>\n Les \u00e9tablissements et les entreprises op\u00e9rant dans les domaines de la sant\u00e9, de la fourniture de m\u00e9dicaments, des services postaux et de l\u2019approvisionnement de base de la population en biens indispensables sont en outre soumis \u00e0 une r\u00e9glementation g\u00e9n\u00e9rale applicable aux petites entreprises: les organisations employant moins de 50\u00a0personnes et dont le chiffre d\u2019affaires annuel est inf\u00e9rieur \u00e0 10\u00a0millions de francs sont exemptes de l\u2019obligation de signaler. Ces exemptions diff\u00e9renci\u00e9es montrent que cette obligation est limit\u00e9e aux organisations dont la d\u00e9faillance aurait effectivement des effets consid\u00e9rables sur la soci\u00e9t\u00e9.<\/p>\n Les cyberattaques ne doivent pas toutes \u00eatre signal\u00e9es, la loi mentionnant quatre crit\u00e8res pour le signalement. Premi\u00e8rement, lorsque le fonctionnement de l\u2019infrastructure critique est mis en p\u00e9ril, c\u2019est-\u00e0-dire lorsque les syst\u00e8mes tombent en panne et que l\u2019organisation doit se rabattre sur des plans d\u2019urgence pour poursuivre son activit\u00e9. Deuxi\u00e8mement, lorsque des personnes non autoris\u00e9es ont acc\u00e8s \u00e0 des donn\u00e9es importantes ou que la s\u00e9curit\u00e9 des donn\u00e9es est viol\u00e9e. Troisi\u00e8mement, lorsqu\u2019une attaque n\u2019a pas \u00e9t\u00e9 d\u00e9tect\u00e9e pendant une p\u00e9riode prolong\u00e9e (90\u00a0jours) et que d\u2019autres attaques pourraient ainsi se pr\u00e9parer. Quatri\u00e8mement, en cas de chantage, c\u2019est-\u00e0-dire lorsque les agresseurs font acte de chantage, de menaces ou de contrainte, par exemple en recourant \u00e0 un ran\u00e7ongiciel[3]<\/a>. En revanche, les dysfonctionnements techniques et les probl\u00e8mes informatiques normaux ne sont pas soumis \u00e0 l\u2019obligation de signaler, car il ne s\u2019agit pas d\u2019attaques intentionnelles.<\/p>\n Les organisations sont tenues de signaler une attaque \u00e0 l\u2019Office f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9 dans les 24\u00a0heures suivant sa d\u00e9tection. Id\u00e9alement, elles le font en passant par un syst\u00e8me \u00e9lectronique s\u00e9curis\u00e9, le Cyber Security Hub, qui garantit un traitement rapide du signalement. Si toutes les informations ne sont pas imm\u00e9diatement disponibles, les organisations ont 14\u00a0jours pour compl\u00e9ter leur signalement. Ce r\u00e8glement en deux \u00e9tapes tient compte du temps qu\u2019il faut pour comprendre les attaques complexes. Le signalement doit nommer l\u2019organisation concern\u00e9e, d\u00e9crire le type et l\u2019ex\u00e9cution de l\u2019attaque ainsi que ses effets et exposer les mesures d\u00e9j\u00e0 prises. Tout en restant juridiquement responsables, les organisations peuvent aussi confier le signalement \u00e0 des entreprises sp\u00e9cialis\u00e9es dans la s\u00e9curit\u00e9 informatique.<\/p>\n Les entit\u00e9s signalant une attaque re\u00e7oivent en outre le soutien de l\u2019Office f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9, qui peut r\u00e9aliser des analyses techniques, apporter ses conseils pour l\u2019\u00e9limination des vuln\u00e9rabilit\u00e9s et avertir les victimes potentielles. Ce soutien leur procure un b\u00e9n\u00e9fice direct.<\/p>\n Le 23\u00a0d\u00e9cembre 2015, l\u2019Ukraine a \u00e9t\u00e9 victime d\u2019une coupure \u00e9lectrique qui a plong\u00e9 dans le noir pr\u00e8s de 230\u00a0000\u00a0personnes. Des pirates informatiques vraisemblablement \u00e0 la solde des services secrets russes ont attaqu\u00e9 les syst\u00e8mes informatiques des fournisseurs d\u2019\u00e9lectricit\u00e9, mettant \u00e0 l\u2019arr\u00eat 30\u00a0sous-stations. Depuis ce premier cas document\u00e9 de cyberattaque mettant hors service un r\u00e9seau \u00e9lectrique, […]<\/p>","protected":false},"author":13719,"featured_media":214836,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"ep_exclude_from_search":false,"footnotes":""},"post__type":[81,83],"post_opinion":[],"post_serie":[],"post_content_category":[241],"post_content_subject":[188],"acf":{"seco_author":13719,"seco_co_author":"","author_override":"","seco_author_post_ocupation_year":"","seco_author_post_occupation_de":"Rino Siffert, Leiter Rechtsdienst im Bundesamt f\u00fcr Cybersicherheit (BACS), Bern","seco_author_post_occupation_fr":"Chef du Service juridique de l\u2019Office f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9 (OFCS), Berne","seco_co_authors_post_ocupation":null,"short_title":"","post_lead":"En Suisse, les cyberattaques ciblant les infrastructures critiques doivent \u00eatre signal\u00e9es depuis 2025. L\u2019objectif est de d\u00e9tecter les menaces \u00e0 un stade pr\u00e9coce et de mieux coordonner les mesures r\u00e9actives.","post_hero_image_description":"Les exploitants d\u2019infrastructures critiques, telles que les centrales \u00e9lectriques, doivent signaler toute cyberattaque dans les 24 heures suivant sa d\u00e9tection. ","post_hero_image_description_copyright_de":"","post_hero_image_description_copyright_fr":"Keystone","post_references_literature":"","post_kasten":null,"post_notes_for_print":"","first_teaser_header_de":"","first_teaser_header_fr":"","first_teaser_text_de":"","first_teaser_text_fr":"","second_teaser_header_de":"","second_teaser_header_fr":"","second_teaser_text_de":"","second_teaser_text_fr":"","kseason_de":"","kseason_fr":"","post_in_pdf":"","main_focus":"","serie_email":"","frontpage_slider_bild":"","artikel_bild-slider":null,"legacy_id":"","post_abstract":"","magazine_issue":null,"seco_author_reccomended_post":"","redaktoren":"","korrektor":"","planned_publication_date":"2025-10-28 06:00:50","original_files":null,"external_release_for_author":"20251027","external_release_for_author_time":"23:05:00","link_for_external_authors":"https:\/\/dievolkswirtschaft.ch\/fr\/exedit\/68de60309cd23"},"_links":{"self":[{"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/posts\/214460"}],"collection":[{"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/users\/13719"}],"replies":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/comments?post=214460"}],"version-history":[{"count":15,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/posts\/214460\/revisions"}],"predecessor-version":[{"id":214850,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/posts\/214460\/revisions\/214850"}],"acf:user":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/users\/13719"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/media\/214836"}],"wp:attachment":[{"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/media?parent=214460"}],"wp:term":[{"taxonomy":"post__type","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post__type?post=214460"},{"taxonomy":"post_opinion","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post_opinion?post=214460"},{"taxonomy":"post_serie","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post_serie?post=214460"},{"taxonomy":"post_content_category","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post_content_category?post=214460"},{"taxonomy":"post_content_subject","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post_content_subject?post=214460"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}De la d\u00e9claration volontaire \u00e0 la d\u00e9claration obligatoire<\/h2>\n
L\u2019approche suisse: priorit\u00e9 donn\u00e9e \u00e0 la d\u00e9tection pr\u00e9coce<\/h2>\n
Qui est assujetti \u00e0 l\u2019obligation de signaler?<\/h2>\n
Que faut-il signaler?<\/h2>\n