Début 2024, une nouvelle Loi sur la sécurité de l’information a été promulguée en Suisse. Mais le signalement des cyber-attaques qui touchent des infrastructures critiques n’est pas rendu obligatoire par cette (récente) législation. En effet, cette obligation entrera en vigueur en 2025, dans le cadre de l’ordonnance sur la cybersécurité (OCyS), dont la consultation s’est ouverte le 22 mai de cette année.
Les infrastructures critiques seront donc tenues de signaler les cyber-attaques. Mais cela se complique... Lorsqu’une cyber-attaque qui touche une entreprise ou des autorités n’a pas « d’impact direct sur le fonctionnement de l’économie ou le bien-être de la population », le signalement n’est pas obligatoire.
Les choses sont donc nuancées.
Et ça continue... L'article 16 précise toute une série de seuils applicables à certaines entreprises.
Exemple d’incohérence, les fournisseurs et opérateurs de moteurs de recherche et de services de cloud computing, ainsi que les data centers dont le siège est en Suisse ne sont soumis à l’obligation de signalement que s’ils fournissent leurs prestations, en partie ou en totalité, à des tiers et contre rémunération. De même, les data centers dont les services ne couvrent que leurs propres besoins ne sont pas soumis à cette obligation.
Aucun seuil n’est stipulé, mais la règle est la suivante : « Une exemption générale est faite aux entreprises qui emploient moins de 50 personnes et dont le chiffre d'affaires annuel ou la somme inscrite au bilan annuel ne dépasse pas 10 millions de francs CHF, ainsi que pour les communes responsables de moins d’un millier d’habitants. »
Les autorités fédérales stipulent également que l’administration de ces villes (souvent de taille modeste) ne doit pas être ralentie par l’obligation de signalement. Enfin, quelle que soit leur taille, les fournisseurs d’infrastructures ou de services essentiels à l’exercice des droits politiques devront informer les forces de police s’ils sont victimes d’une cyber-attaque, et ce, même si leurs services concernent moins de 1 000 habitants.
C’est donc sans grande surprise, que lors d’un récent sondage, de nombreuses entreprises aient déclaré ne pas savoir si elles devaient signaler les cyber-attaques dont elles seraient victimes. En cas de doute, les autorités et les entreprises sont invitées à contacter l’Office fédéral de la cybersécurité (OFCS). Elles pourront alors demander à être soumises à l’obligation de signalement — ou à en être exemptées.
L’ordonnance sur la cybersécurité (OCyS) est ouverte à consultation jusqu'au 13 septembre 2024.