By Sylvain Guennard – Ingénieur systèmes senior, Penta
L’Office fédéral de la cybersécurité (OFCS/NCSC) a reçu 145 rapports d’incidents obligatoires des opérateurs d’infrastructures critiques au second semestre 2025, le premier semestre complet sous le nouveau régime de notification obligatoire, ainsi qu’environ 29’000 rapports volontaires. Les conclusions, publiées le 30 mars 2026, documentent une professionnalisation marquée des méthodes d’attaque : l’IA générative est utilisée pour personnaliser les campagnes à grande échelle, et les réseaux ORB sont identifiés avec une fréquence croissante. Pour les entreprises de services financiers à Genève, le rapport informe directement les attentes réglementaires de la FINMA.
Le document source – le Rapport semestriel OFCS/NCSC 2025/2, « Le niveau de cybermenace reste élevé » (30 mars 2026) – est le premier à inclure des données de notification obligatoire. La FINMA a établi un lien direct entre ces conclusions et les obligations de risque opérationnel imposées aux établissements surveillés.
Au second semestre 2025, l’OFCS/NCSC a traité 145 rapports obligatoires d’incidents d’infrastructure critique. L’administration publique représentait 25 pour cent des rapports obligatoires, le secteur le plus important par volume. Les services financiers suivaient de près.
Environ 29’000 rapports d’incidents volontaires ont également été reçus, maintenant le total annuel de la Suisse au-dessus de 64’000 pour la deuxième année consécutive. Le volume global s’est stabilisé à un niveau élevé. Ce qui a changé, c’est la nature des attaques : plus ciblées, plus complexes, et de plus en plus assistées par l’IA.
Le rapport semestriel de l’OFCS/NCSC couvre les rapports d’incidents volontaires et, pour la première fois au second semestre 2025, les rapports obligatoires des opérateurs d’infrastructures critiques. L’obligation de notification est entrée en vigueur le 1er avril 2025, obligeant les opérateurs à notifier l’OFCS/NCSC dans les 24 heures suivant la détection d’une cyberattaque significative.
Les données du second semestre 2025 représentent donc le premier semestre complet de notification obligatoire, fournissant une nouvelle référence pour le suivi des menaces pesant sur les secteurs critiques.
Deux développements se distinguent dans l’analyse du second semestre 2025.
Le premier est l’utilisation de l’IA générative pour automatiser et personnaliser l’ingénierie sociale. Les campagnes de phishing peuvent désormais être produites à grande échelle, dans la langue locale courante, adaptées à chaque destinataire.
Le second est l’identification croissante de réseaux ORB en Suisse. Il s’agit de réseaux d’appareils connectés à Internet compromis – routeurs, serveurs, appareils IoT – infectés par des logiciels malveillants et contrôlés à distance par des attaquants. Dans certains cas, ils sont loués à des tiers et utilisés comme points de lancement d’attaques supplémentaires.
« Le niveau de cybermenace reste élevé – les attaques deviennent plus ciblées et complexes. » – OFCS/NCSC, Rapport semestriel 2025/2
Une proportion significative des incidents ne provenait pas de l’organisation cible. Ils sont entrés par des prestataires de services et des partenaires d’externalisation. Une organisation qui a investi massivement dans son propre périmètre de sécurité peut toujours être compromise par un fournisseur opérant avec des contrôles plus faibles.
Pour les entreprises utilisant des services informatiques gérés ou d’hébergement cloud, la posture de sécurité du prestataire est une question substantielle, pas administrative.
Les priorités de surveillance de la FINMA font référence directement au paysage national des menaces. Les établissements doivent évaluer leur propre posture de sécurité et celle des tiers ayant accès à leurs systèmes et données.
Le régime de notification obligatoire crée également une dimension de conformité : les entreprises concernées doivent disposer de capacités de détection et de notification des incidents. Le délai de 24 heures ne laisse aucune marge pour des lacunes procédurales.
OFCS/NCSC, « Le niveau de cybermenace reste élevé » (Rapport semestriel 2025/2), 30 mars 2026 : https://www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2026/ncsc-hjb-2025-2.html
Obligation de notification NCSC (Ordonnance sur la cybersécurité, avril 2025) : https://www.ncsc.admin.ch/ncsc/en/home/meldepflicht.html
Rapport annuel FINMA 2025 : https://www.finma.ch/en/documentation/finma-publications/annual-reports--and-financial-statements/