Non. Les personnes privées ne sont pas soumises à l’obligation de signaler mais les annonces faites volontairement nous permettent d’identifier des tendances et de prendre des contre-mesures. Vous trouverez le formulaire des communications volontaires en cliquant sur le lien suivant :
https://www.report.ncsc.admin.ch/fr/
Principes de base
Les personnes privées sont-elles soumises à l’obligation de signaler ?
Quelles sont les entreprises soumises à l'obligation de déclaration ?
Seules les entreprises suisses sont-elles des infrastructures critiques ? Les entreprises étrangères doivent-elles également signaler les incidents ?
L'obligation de signaler s'applique-t-elle à l'ensemble de l'organisation (IT et OT) ou uniquement aux incidents dans le domaine OT ?
Puis-je signaler un incident même si je ne suis pas soumis à l’obligation de signaler ?
Les MSP doivent-ils également signaler les cyberattaques ? / Est-il possible pour un client de déléguer tout ou partie de ces notifications à un partenaire de sécurité ?
Qui doit signaler si la commune utilise les services informatiques, y compris le réseau, du canton ? Qui de la commune ou du canton est soumis à l'obligation de signaler ?
En Suisse, il existe une obligation de notification des cyberincidents pour les entreprises qui exploitent des infrastructures critiques. Ces entreprises sont tenues de notifier les cyberincidents à l’OFCS. L'obligation de signaler est régie par la loi sur la sécurité de l'information (LSI) ainsi que par l'ordonnance sur la cybersécurité (OCyS). Pour les entreprises qui ne font pas partie des infrastructures critiques, il n'existe actuellement aucune obligation légale de signaler les cyberincidents. Il est toutefois recommandé de signaler volontairement de tels incidents à l’OFCS afin de contribuer à la cybersécurité générale.
Toutes les entreprises ayant leur siège en Suisse et entrant dans le champ d'application défini par la loi et l'ordonnance sont soumises à cette obligation.
Une cyberattaque doit être signalée si elle met en péril le fonctionnement de l'infrastructure critique concernée, si elle a entraîné une manipulation ou une fuite d'informations, si la cyberattaque n'a pas été détectée pendant une période prolongée ou si elle est liée à une extorsion, une menace ou une contrainte.
Oui, vous pouvez annoncer des cyberincidents même si vous n’êtes pas soumis à l’obligation de signaler. Il est même recommandé d’annoncer volontairement des incidents à l’Office fédéral de la cybersécurité (OFCS). Vous contribuez ainsi à la cybersécurité générale et aidez à détecter les menaces à un stade précoce et à les combattre.
L'obligation de signaler incombe toujours à l'organisation touchée par l'attaque. Si vous subissez une attaque et que vos clients sont considérés comme une infrastructure critique, vous devez effectuer une déclaration conformément à la LSI/OCyS. Dans le cas des communes, par exemple, le MSP peut également faire la déclaration au nom de la commune touchée par la cyberattaque, mais cela doit alors être documenté en conséquence.
Les exploitants des réseaux sont tenus d’effectuer le signalement, donc ici le canton.
Processus de signalement
Comment signaler un incident conformément à l’obligation de signaler ?
Dois-je aussi signaler un cyberincident lorsque je ne dispose pas d’informations précises ?
Si je ne suis pas membre du CSH, comment dois-je signaler l'attaque ?
Que se passe-t-il si mon organisation ignore si elle est soumise à l'obligation de signaler ?
Le signalement des cyberattaques à l’OFCS ne représente-t-il pas une charge administrative supplémentaire pour les petites entreprises et organisations ? Comment s'assurer que l'obligation de signaler ne devienne pas une charge pour les entreprises et les organisations ?
L'inscription sur le CSH doit-elle être effectuée personnellement ou peut-elle se faire au niveau du département Informatique, adresse électronique de groupe : « informatique@... » ?
Dès l'entrée en vigueur de l'obligation de signaler au premier semestre 2025, les possibilités de notification suivantes seront disponibles :
Les entreprises disposant d'un compte sur le Cyber Security Hub (CSH) de l'OFCS peuvent déclarer directement via ce portail.
Il est recommandé aux entreprises soumises à l'obligation de signaler qui n'ont pas encore de compte CSH d'en ouvrir un sur le Cyber Security Hub.
Pour plus d'informations, voir :
Cyber Security Hub
Pour les entreprises qui n'ont pas de compte sur le Cyber Security Hub, l'OFCS met à disposition une autre voie de notification par e-mail. Les informations relatives à ce processus seront mises en ligne sur les pages de l'OFCS avant l'entrée en vigueur de l'obligation de signaler.
Oui. Même si vous ne disposez encore d’aucune information, vous devez effectuer une première communication dans les 24 heures. Votre communication définitive, qui contient des informations supplémentaires, doit être faite dans les quatorze jours.
Vous pouvez signaler la cyberattaque en utilisant le bouton de signalement sur le site web de l’OFCS, ou bien en envoyant un courriel prérempli. L’OFCS recommande toutefois aux infrastructures critiques soumises à l’obligation de signaler de s'enregistrer sur le CSH.
En vertu de l'art. 74a, al. 2, LSI, l'Office fédéral de la cybersécurité est tenu d'indiquer à toutes les autorités et organisations intéressées si elles sont soumises à l'obligation de signaler. Il rend une décision à cet effet sur demande.
Pour les organisations enregistrées sur le CSH (la plateforme d'échange de l’OFCS avec les entreprises), il est indiqué selon l'OFCS si elles font partie des organisations soumises à l'obligation de signaler ou non.
La charge supplémentaire pour les entreprises est généralement faible, car le formulaire de signalement est conçu de manière très simple et se limite au strict nécessaire. Dans l'ordonnance sur la cybersécurité, le Conseil fédéral a en outre édicté des dispositions d'exception étendues pour les petites entreprises.
De plus, l’OFCS se tient à la disposition des personnes signalant un cas pour leur apporter une première aide, ce qui peut aussi, dans de nombreux cas, réduire la charge de travail dans un premier temps.
Les comptes sur le CSH sont des comptes personnels ; il n'y a pas de possibilité d'identification via des adresses électroniques de groupe. L’OFCS doit être en mesure d’identifier les membres du CSH.
Exceptions et cas particuliers
Les collaborateurs ou conseillers communaux ont accès à certains programmes informatiques avec leurs appareils privés via un canal protégé. Une déclaration immédiate est-elle nécessaire si l'infrastructure privée d'un collaborateur a été piratée ?
Mise en péril du fonctionnement : par exemple, si une attaque DDoS sur une application non critique pour l'entreprise entraîne une interruption du système, cet incident devrait-il être signalé indépendamment de la criticité métier ?
Qu'en est-il lorsqu'un fournisseur X (par exemple X365) est attaqué ? Cet incident doit-il être signalé ?
Non, il ne s'agit alors pas d'une attaque sur l'infrastructure de l'infrastructure critique. L’OFCS recommande toutefois de faire clarifier la situation par un spécialiste en informatique.
En cas d'attaque DDoS sur une application non critique pour l'entreprise, il n'y a pas d'obligation de signaler automatique. Ce qui est déterminant, c'est de savoir si l'attaque met en danger le fonctionnement de l'infrastructure critique dans son ensemble. Tant que l'interruption du système n'a pas d'impact sur les fonctions critiques de l'entreprise, que les services clés ne sont pas affectés et qu'il n'y a pas de risque de propagation, l'incident n’est pas soumis à l'obligation de signaler. L'obligation de signaler se concentre sur les conséquences effectives sur la capacité de fonctionnement.
Dans de tels cas, il incombe en premier lieu au fournisseur concerné - par exemple X - de signaler lui-même l'incident, pour autant qu'il soit soumis à cette obligation. L’OFCS est toutefois tributaire des informations fournies par les utilisateurs : si vous constatez des signes d'un tel incident, nous vous prions de nous les communiquer afin que nous puissions évaluer la situation et prendre des mesures si nécessaire.
Soutien de l’OFCS et coopération
Les déclarations à l’OFCS sont-elles directement partagées avec la FINMA ou le PFPDT ?
Le signalement à l’OFCS remplace-t-il celui à la FINMA ?
Le signalement peut-il être transmis à d'autres destinataires que la FINMA, par exemple ?
Comment la confidentialité des informations signalées est-elle garantie ?
Comment l'obligation de signaler est-elle surveillée et contrôlée ? Existe-t-il des mécanismes permettant de garantir que les entreprises signalent effectivement tous les incidents pertinents et pas seulement ceux qu'elles jugent « acceptables » ?
Que fait l’OFCS avec les signalements reçus ?
Quel est le soutien apporté par l’OFCS après un signalement ?
L’OFCS offre-t-il une assistance en cas d'extorsion par rançongiciel et de négociations avec les maîtres chanteurs ?
Dans quel délai l’OFCS réagit-il après un signalement ?
Si les déclarants indiquent expressément que leur signalement doit être transmis à des autorités tierces telles que le PFPDT, la FINMA, l'OFAS ou le SEPOS, une transmission correspondante a lieu. De cette manière, plusieurs obligations de signaler à l'égard de différents services peuvent être remplies de manière centralisée via un seul formulaire. Les éventuelles demandes de précisions ou de compléments sont ensuite adressées directement à l'organisation déclarante par les autorités compétentes respectives.
Les établissements également soumis à l'obligation de signaler en vertu de la loi sur la sécurité de l'information (LSI ; RS 128) peuvent envoyer leur premier signalement, qui doit être effectué dans les 24 heures suivant la découverte de la cyberattaque, via le formulaire de déclaration de l'Office fédéral de la cybersécurité (OFCS). Il est possible de transmettre la déclaration à la FINMA en même temps, à condition que la transmission dans les délais puisse être garantie. La déclaration détaillée dans les 72 heures doit toujours être envoyée via la plate-forme de saisie et de demande (EHP) de la FINMA.
Non, les entreprises doivent le faire elles-mêmes.
L’OFCS garantit la protection des informations communiquées. Depuis près de 20 ans, l’OFCS et les organisations qui l'ont précédé, le NCSC ainsi que MELANI, échangent régulièrement avec les exploitants d'infrastructures critiques et traitent ces informations de manière confidentielle.
Les nombreuses annonces reçues par l’OFCS via le formulaire de signalement sont également traitées de manière confidentielle. Afin d'alerter la population, ces annonces sont rendues anonymes, classées par catégories et enregistrées statistiquement. Cela sera également le cas avec les informations de l’obligation de signaler.
Il n'y aura pas de surveillance active du respect de l'obligation de signaler. Si l’OFCS apprend qu'une cyberattaque soumise à l'obligation de signaler n'a pas été signalée, il contactera l'organisation concernée soumise à l'obligation de signaler et lui rappellera son obligation. Si l'entreprise ne respecte toujours pas l'obligation de signaler, l’OFCS rendra une décision assortie d'une menace de sanction. Si l'absence de signalement persiste, l’OFCS peut déposer une plainte auprès des autorités de poursuite pénale compétentes.
Lorsqu’un signalement parvient à l’OFCS, il est analysé par des experts. Si l'entreprise concernée demande de l'aide, l’OFCS prend contact avec elle. Les attaques signalées aident l’OFCS à mieux évaluer la menace et à avertir plus tôt les victimes potentielles, afin qu'elles puissent prendre les mesures de protection appropriées.
L’OFCS fournit une assistance technique au sens d'un soutien de premier niveau. Celui-ci ne doit toutefois pas entrer en concurrence avec les offres de l'économie privée. Selon l'ampleur de l'attaque, l’OFCS invitera donc les victimes à chercher de l'aide auprès d'entreprises spécialisées, si elles ne l'ont pas déjà fait. L’OFCS se tient également à la disposition des victimes et des spécialistes qu'elles ont éventuellement engagés pour les conseiller.
Non, l’OFCS ne négocie pas avec les auteurs de chantage. Il fournit toutefois une première assistance technique et aide à évaluer la situation ainsi qu’à rétablir les systèmes. Les démarches juridiques ou les négociations relèvent de la compétence de la police et des autorités de poursuite pénale.
Un accusé de réception automatisé est envoyé immédiatement. Si vous avez besoin d'une assistance technique, l’OFCS peut être contacté via le numéro de piquet d’urgence - même en dehors des heures de bureau et le week-end.
Délais et conséquences en cas de non-respect
Lors de la réception du signalement, s'agit-il de 14 jours ou de jours ouvrables ?
Que se passe-t-il si, par exemple, un système tombe en panne le vendredi soir, mais qu'il n'apparaît que le lundi qu'il s'agit d'une attaque ?
Que se passe-t-il si je ne signale pas dans les 24 heures ?
Qu'advient-il de l'argent des amendes ?
Il s'agit de 14 jours (y compris le samedi et le dimanche).
Dès la découverte de l'incident, vous devez effectuer un signalement à l’OFCS dans les 24 heures. Dans cet exemple, le lundi matin.
L’OFCS ne peut attirer l'attention d'une entreprise soumise à l'obligation de signaler les cyberattaques que lorsqu'il a lui-même connaissance d'un incident. Si aucune réaction n'intervient dans les délais après cet avis, l’OFCS rend une décision assortie d'une menace de sanction. Si le signalement n'est toujours pas effectué, l’OFCS peut dénoncer l'incident aux autorités de poursuite pénale compétentes.
Les cantons sont compétents pour la poursuite et le jugement des infractions aux décisions de l'OFCS.
Dernière modification 30.03.2025
