07.03.2025 - Lors de sa séance du 7 mars 2025, le Conseil fédéral a décidé de promulguer au 1er avril l’obligation de signaler les cyberattaques contre des infrastructures critiques. Depuis cette date, les exploitants d’infrastructures critiques sont tenus d’annoncer les cyberattaques à l’Office fédéral de la cybersécurité (OFCS) dans les 24 heures suivant leur détection. Ces signalements permettront à l’OFCS d’aider les entreprises concernées à maîtriser la cyberattaque dont elles sont victimes et d’alerter les exploitants d’infrastructures critiques à un stade précoce.
L’obligation de signaler les cyberattaques contre des infrastructures critiques entre en vigueur le 1er avril 2025
La menace croissante que représentent les cyberincidents a incité la Suisse à introduire une obligation de signalement des cyberattaques contre des infrastructures critiques. Les exploitants d’infrastructures critiques sont désormais tenus d’annoncer toute cyberattaque à l’OFCS.
Le Conseil fédéral a décidé de promulguer au 1er avril 2025 la modification de la loi fédérale du 18 décembre 2020 sur la sécurité de l’information au sein de la Confédération (loi sur la sécurité de l’information, LSI) telle qu’adoptée par le Parlement le 29 septembre 2023. La LSI précise que les autorités et les organisations assujetties, telles les entreprises œuvrant dans les domaines de l’approvisionnement énergétique et de l’approvisionnement en eau potable, les entreprises de transport et les autorités cantonales ou communales ont l’obligation de signaler les cyberattaques à l’OFCS dans les 24 heures suivant leur détection.
Une cyberattaque doit être signalée, notamment lorsqu’elle met en péril le fonctionnement de l’infrastructure critique concernée, a entraîné une manipulation ou une fuite d’informations, ou s’accompagne d’actes de chantage, de menaces ou de contrainte. La loi prévoit des amendes si l’obligation de signalement n’est pas respectée.
Mais le Conseil fédéral a décidé que les bases légales relatives aux amendes n’entreront en vigueur qu’au 1er octobre 2025 pour laisser le temps aux autorités et aux organisations concernées de s’adapter au nouveau système. L’obligation de signalement s’applique pendant les six premiers mois, mais sans sanction en l’absence de déclaration pendant cette période.
Formulaire de signalement de l’OFCS sur la plateforme
Pour simplifier autant que possible le processus, l’OFCS a prévu un formulaire ad hoc sur la plateforme qu’elle a mise en place pour l’échange d’informations avec les exploitants d’infrastructures critiques. Les organisations qui n’ont pas accès à la plateforme peuvent également envoyer les signalements par courriel avec un formulaire disponible sur le site web de l’OFCS. Si toutes les informations requises ne peuvent pas être fournies dans les 24 heures, le délai pour compléter le signalement est de 14 jours.
Exceptions réglementées dans l’ordonnance sur la cybersécurité
Par ailleurs, le Conseil fédéral a approuvé l’ordonnance sur la cybersécurité (OCyS) et fixé son entrée en vigueur au 1er avril 2025. L’OCyS contient les dispositions d’exécution relatives à l’obligation de signalement, réglementant notamment les exceptions prévues à l’art. 74c de la LSI. En outre, l’ordonnance contient également des dispositions relatives à la cyberstratégie nationale, aux tâches de l’OFCS et à l’échange d’informations entre l’OFCS et les autorités et organisations.
Le projet d’OCyS a été mis en consultation entre le 22 mai et le 13 septembre 2024. Il a rencontré un large soutien en vue de renforcer la cybersécurité en Suisse. La principale préoccupation des autorités et des organisations concernées était que le formulaire de signalement soit aussi simple que possible à remplir et qu’il soit harmonisé avec d’autres obligations de signalement (en matière de protection des données par exemple). Cette demande a pu être prise en compte. Le formulaire de signalement de l’OFCS permet de saisir rapidement les informations nécessaires et, sur demande, de les transmettre à d’autres autorités vis-à-vis desquelles existe une obligation de signalement, par exemple à l’Autorité fédérale de surveillance sur les marchés financiers ou au préposé fédéral à la protection des données et à la transparence.
Une autre ordonnance concerne le changement de nom lié à la transformation du Centre national de cybersécurité (NCSC) en un office fédéral au sein du DDPS. Afin de transcrire ce changement de nom dans les bases juridiques, le Conseil fédéral a édicté une ordonnance correspondante au 1er avril 2025.
Jalon pour la cybersécurité en Suisse
L’introduction de l’obligation de signaler est une étape importante pour la cybersécurité de la Suisse en tant que première réglementation multisectorielle. L’intensification des échanges d’informations est essentielle pour répondre à l’évolution rapide des cybermenaces avec des mesures appropriées. L’introduction de l’obligation de signaler les cyberattaques en Suisse est conforme aux normes internationales. Ainsi, depuis 2018, tous les États membres de l’UE ont l’obligation de notifier les cyberincidents conformément à la directive NIS.
Formulaire de signalement
Informations complémentaires
Communiqués de presse
Dernière modification 07.03.2025
