La Suisse réaffirme sa démarche déjà considérablement proactive face aux cybermenaces, à travers une initiative visant à renforcer ses défenses numériques : à partir de 2025, les exploitants seront tenus de signaler les cyberattaques affectant leurs infrastructures critiques au gouvernement.
Qu’est-ce qu’une infrastructure critique ? Les infrastructures critiques permettent de fournir des services essentiels. Elles comprennent notamment les centrales électriques, les systèmes de transport et les réseaux de communication. La nouvelle directive fait partie de l’ordonnance sur la cybersécurité (OCyS), récemment mise en consultation.
Cette initiative fait suite à la loi suisse sur la sécurité de l’information (LSI), entrée en vigueur début 2024. La LSI offre un cadre complet en matière de cybersécurité. Mais cette loi n’inclut pas l’obligation de déclarer les cyberattaques visant les infrastructures critiques. Compte tenu de l’impact potentiel que ces attaques peuvent avoir sur les exploitants, l’OCyS comble cette lacune à travers la mise en œuvre d’un processus de signalement et précise qui sont les organisations concernées.
Tous les exploitants d’infrastructures critiques ne sont pas confrontés aux mêmes risques, et certains d’entre eux disposent de ressources beaucoup plus importantes que les autres. Face à cette diversité, l’OCyS prévoit des exceptions pour les autorités et organisations pour lesquelles une cyberattaque n’aurait pas d’impact direct sur le fonctionnement de l’économie ou le bien-être de la population. L’ordonnance sur la cybersécurité reconnaît également que toutes les cyberattaques n’ont pas la même ampleur, et définit des seuils particuliers. Ainsi, certains exploitants devront uniquement signaler les incidents dépassant un niveau de gravité donné, comme prévu dans l’article 16.
Outre l’ampleur de l’attaque, la législation tient compte de la taille de l’organisation. L’ordonnance prévoit une dérogation pour les très petites structures : les entreprises de moins de 50 salariés et dont le chiffre d’affaires ou le bilan annuel est inférieur à 10 millions de francs seront exemptées, de même que les communes de moins de 1 000 habitants. Toutefois, les fournisseurs d’infrastructures ou de services essentiels à l’exercice des droits politiques ne sont pas exemptés.
Comme c’est souvent le cas avec les réglementations de ce type, l’OCyS risque de susciter la confusion : une étude récente le confirme. Le gouvernement suisse a mis en place des mécanismes de soutien pour éliminer toute confusion. Les organisations concernées peuvent contacter l’Office fédéral de la cybersécurité (OFCS) pour vérifier si elles sont soumises ou non à cette obligation de signaler les cyberattaques. L’OFCS s’engage à examiner chaque cas de façon individuelle et à veiller à ce que les règles de signalement soient appliquées de manière impartiale et efficace.
Cependant, l’OFCS met les organisations en garde : il leur incombe de se conformer immédiatement aux nouvelles obligations de signalement si leur situation était amenée à changer de manière significative. Il est donc capital de contacter à nouveau l’OFCS en cas de changements ou de mise à l’échelle.
La législation fournit plus de détails concernant les définitions spécifiques et le formulaire à remplir en cas de cyberattaque. Toutes les organisations sont invitées à les lire dans leur intégralité.
Au-delà du simple signalement, en définissant et en délimitant les différents types d’attaques, l’OCyS a pour ambition non seulement de permettre aux organisations de mieux comprendre ce qu’elles doivent signaler, mais aussi au gouvernement de recueillir des données utiles et d’identifier précisément quels types de menaces ciblent quels types de fournisseurs. Cela aura une incidence directe sur les stratégies de défense et de réponses à venir.
L’OCyS impose de nouvelles contraintes aux fournisseurs de services informatiques, en particulier les exploitants d’infrastructures critiques. Bien que la cybersécurité soit une priorité pour la grande majorité des fournisseurs, l’OCyS place la barre encore plus haut au sein de l’industrie. Il s’agit d’une évolution positive qui met en lumière l’importance de l’IT pour la sécurité nationale.
La procédure de consultation de l’OCyS prendra fin le 13 septembre 2024. Les retours des parties prenantes serviront ensuite à en rédiger la version finale.
Cette législation représente un progrès significatif pour la cybersécurité en Suisse. Il est possible que d’autres pays utilisent l’OCyS comme modèle pour modifier leur propre législation afin de renforcer leurs défenses face à des menaces en constante évolution.
L’introduction de cette ordonnance nous rappelle l’importance d’une cybersécurité robuste et évolutive. Face à ces exigences, il peut s’avérer utile de migrer vers le cloud. Il vous permet de bénéficier d’une meilleure évolutivité, d’une plus grande efficacité et d’une sécurité renforcée, ce qui est plus important que jamais.
Votre société est-elle prête à affronter les cybermenaces et à respecter les normes de conformité à venir ? Contactez Penta dès aujourd’hui pour découvrir comment une migration vers le cloud peut vous permettre de gagner en résilience et en agilité et de renforcer votre sécurité.