Nouvelle obligation d'annoncer les cyberattaques contre les infrastructures critiques suisses à partir d'avril 2025

A partir du 1er avril 2025, les exploitants d'infrastructures critiques en Suisse seront tenus de signaler les cyberattaques à l'Office fédéral de la cybersécurité (OFCS).


Le Conseil fédéral suisse a récemment confirmé cette réglementation, qui vise à renforcer la cybersécurité nationale en garantissant des réponses rapides aux cybermenaces.

Signalement obligatoire dans les 24 heures

En vertu de la nouvelle ordonnance sur la cybersécurité (OCyS), les entrerises telles que les fournisseurs d'énergie et d'eau, les entreprises de transport et les administrations cantonales et municipales doivent signaler les cyberincidents dans les 24 heures suivant leur détection. Cette obligation s'applique aux cyberattaques qui :

  • mettent en danger l'exploitation d'infrastructures critiques

  • entraînent des manipulations de données ou des fuites d'informations

  • impliquent une extorsion, des menaces ou une coercition.

Le signalement peut être effectué via un formulaire dédié sur la plateforme de l'OFCS ou par courrier électronique. Pour faciliter la transition, la non-conformité ne sera pas sanctionnée pendant les six premiers mois. Toutefois, à partir d'octobre 2025, des amendes seront imposées en cas de non-déclaration d'incidents.

S'aligner sur les efforts plus larges en matière de cybersécurité

L'obligation de signaler les cyberattaques est un élément clé de la stratégie plus large de la Suisse en matière de cybersécurité. Si la loi sur la sécurité de l'information, promulguée au début de l'année 2024, a jeté les bases d'un renforcement des défenses numériques, elle ne prévoyait pas d'obligation de signalement des cyberattaques. L'OCyS comble désormais cette lacune, avec des réglementations façonnées par un processus de consultation publique qui a montré un soutien infaillible pour renforcer les mesures de cybersécurité.

L'une des principales préoccupations soulevées était de veiller à ce que les procédures de signalement soient simples et conformes aux obligations existantes, telles que celles relatives à la protection des données. C'est pourquoi l'OFCS indique que son formulaire de déclaration est conçu pour permettre une soumission rapide des informations nécessaires et qu'il peut, sur demande, transmettre des informations à d'autres autorités compétentes, notamment l'Autorité fédérale de surveillance des marchés financiers et le président fédéral à la protection des données et à l'information.

Qui est concerné - et qui est exempté ?

L'OCyS prévoit des exemptions pour les entreprises dont les cyberincidents n'auraient pas d'impact direct sur la stabilité économique ou le bien-être public. Notamment :

  • Les petites entreprises comptant moins de 50 employés et dont le chiffre d'affaires annuel ou les actifs sont inférieurs à 10 millions de francs suisses sont exemptées.

  • Les administrations municipales desservant moins de 1 000 résidents sont également exemptées, sauf si elles fournissent des services liés aux droits politiques, tels que l'infrastructure électorale.

  • Les fournisseurs d'informatique en cloud, les exploitants de moteurs de recherche et les centres de données ayant leur siège en Suisse ne sont tenus de signaler les incidents que s'ils fournissent des services à des tiers contre rémunération.

Répondre à l'incertitude concernant la conformité

Une étude récente de l'Institut suisse de formation à l'informatique a révélé que de nombreuses entreprises ne savent pas exactement quelles sont leurs obligations en matière d'établissement de rapports. C'est pourquoi le gouvernement suisse a précisé que les entreprises peuvent contacter l'OFCS de manière proactive pour s'assurer si elles sont soumises aux nouvelles exigences. Les entreprises qui souhaitent bénéficier d'une exemption ou d'une inclusion doivent soumettre des documents pertinents pour le justifier - et tout changement opérationnel important peut signifier qu'elles doivent réévaluer leurs obligations.

L'OFCS a également divisé les cyberattaques à déclarer en sections distinctes, afin d'aider les entreprises à comprendre quels incidents doivent être divulgués et à quel moment. 

Prochaines étapes

Alors que les cybermenaces continuent d'évoluer, la Suisse prend des mesures proactives pour protéger ses infrastructures critiques, en « renforçant la résilience nationale contre les attaques numériques ». Pour plus d'informations ou pour obtenir de l'aide sur la marche à suivre, contactez-nous - nous serons ravis de vous aider. 

 


Découvrez d’autres articles