La Confédération réglemente l'obligation de déclarer les cyberattaques
A partir de 2025, les exploitants d'infrastructures critiques devront annoncer les cyberattaques à la Confédération. Le Conseil fédéral vient d'envoyer les détails de cette ordonnance en consultation. Le texte définit également la stratégie cybernétique nationale et les tâches de l’Office fédéral de la cybersécurité (OFCS).
La nouvelle loi sur la sécurité de l'information est entrée en vigueur début 2024. L'obligation d'annoncer les cyberattaques contre les infrastructures critiques, décidée par le Parlement, est toutefois absente de cette loi. L'obligation doit être introduite en 2025, avec l’entrée en vigueur de l’ordonnance sur la cybersécurité (OCyS), mise en consultation ce 22 mai.
Dans l'ordonnance, la Confédération indique comment l'obligation de notification des cyberattaques doit être mise en œuvre pour les infrastructures critiques. Les dispositions relatives aux exceptions à l'obligation de notification constituent également un élément clé. Selon le communiqué, les autorités et les organisations pour lesquelles une cyberattaque n'a pas d'impact direct sur le fonctionnement de l'économie ou le bien-être de la population sont explicitement exemptées de l'obligation de notification. L'article 16 de l'ordonnance contient toute une série de valeurs seuils pour certaines entreprises, par exemple dans le secteur de l'énergie ou des transports publics.
Par exemple, les fournisseurs et exploitants de cloud computing et de moteurs de recherche ainsi que les centres de calcul ayant leur siège en Suisse ne sont soumis à l'obligation de déclaration que s'ils fournissent leurs prestations en partie ou en totalité à des tiers et contre rémunération, écrit la Confédération dans ses explications. En outre, les centres de calcul qui fournissent leurs prestations exclusivement pour leurs propres besoins ne sont pas soumis à cette obligation.
Lorsqu'aucun seuil concret n'est défini, la règle est la suivante: «une dispense générale est accordée aux entreprises employant moins de cinquante personnes et affichant un chiffre d’affaires ou un bilan annuels inférieur à dix millions de francs ainsi qu’aux autorités responsables d’une communauté de moins de 1000 personnes». Les autorités fédérales précisent que les administrations de ces communes, généralement petites, voire très petites, ne doivent pas être surchargées par une obligation d'annonce. Les exceptions à cette dérogation sont les fournisseurs et les exploitants de services et d'infrastructures qui servent à l'exercice des droits politiques. Ceux-ci sont soumis à l'obligation d'annoncer même s'ils proposent leurs services et infrastructures à moins de 1000 habitantes et habitants.
Une récente étude a montré que de nombreuses entreprises ne savent pas si elles doivent déclarer ou les cyberattaques qui les touchent. Il faut s'attendre à de l'incertitude, admet la Confédération. Elle donne donc la possibilité aux autorités et organisations intéressées de s'adresser à l'Office fédéral de la cybersécurité (OFCS) et de demander à être soumises à une obligation de déclaration - ou à en être exemptées. Pour ce faire, les demandeurs doivent mettre à disposition de l'office fédéral tous les documents nécessaires. Les informations fournies par l’OFCS sont en outre un instantané, ajoute l'administration fédérale. En cas de modification importante des faits ou circonstances pertinents, il incombe à l'organisation concernée de se conformer immédiatement à l'obligation de déclaration ou, en cas d'incertitude, de frapper à nouveau à la porte de l’OFCS. Le règlement contient également des définitions plus précises des attaques qui doivent être concrètement notifiées, réparties dans différentes sections.
La consultation de l’ordonnance sur la cybersécurité (OCyS) va durer jusqu'au 13 septembre 2024.
