L'obligation de signaler les cyberattaques contre les infrastructures critiques suisses entre en vigueur (update)

Mise à jour du 10 mars 2025: L'obligation de signaler les cyberattaques contre les infrastructures critiques en Suisse entrera en vigueur le 1er avril 2025. Telle est la décision du Conseil fédéral, qui a publié un communiqué à ce sujet.

Les autorités et organisations soumises à l'obligation de déclaration, telles que les fournisseurs d'énergie ou d'eau potable, les entreprises de transport et les administrations cantonales et communales, doivent signaler les cyberattaques à l'Office fédéral de la cybersécurité (OFCS) dans les 24 heures suivant leur découverte. Cette règle s'applique en particulier lorsque l'attaque «met en péril le fonctionnement de l’infrastructure critique concernée, a entraîné une manipulation ou une fuite d’informations, ou s’accompagne d’actes de chantage, de menaces ou de contrainte», écrivent les autorités. 

La notification peut être effectuée via un formulaire de notification dédié, que l'OFCS propose sur sa plateforme d'échange d'informations avec les exploitants d'infrastructures critiques. Il est également possible de le faire par e-mail. Les personnes qui ne respectent pas l'obligation de signalement ne seront pas sanctionnées pendant les six premiers mois suivant l'entrée en vigueur de la nouvelle réglementation. Mais à partir d'octobre, la Confédération sanctionnera par des amendes ceux qui ne se conformeront pas à l'obligation de signalement.

Le Conseil fédéral règle les détails de l'obligation de déclaration dans l'ordonnance sur la cybersécurité (OCyS), qu'il avait mise en consultation en 2024. Selon le communiqué, l'exécutif a pu constater «un large soutien en vue de renforcer la cybersécurité en Suisse» dans les réponses reçues. 

La principale préoccupation des personnes interrogées était que l'obligation de déclaration soit aussi simple que possible et harmonisée avec d'autres obligations de déclaration (telles que les obligations de déclaration en matière de protection des données). La Confédération a tenu compte de cette préoccupation. Ainsi, le formulaire de déclaration de l'OFCS permet de saisir rapidement les informations nécessaires et, sur demande, de les transmettre à d’autres autorités vis-à-vis desquelles existe une obligation de signalement, par exemple à l’Autorité fédérale de surveillance sur les marchés financiers ou au préposé fédéral à la protection des données et à la transparence.

News du 28 mai 2024: La nouvelle loi sur la sécurité de l'information est entrée en vigueur début 2024. L'obligation d'annoncer les cyberattaques contre les infrastructures critiques, décidée par le Parlement, est toutefois absente de cette loi. L'obligation doit être introduite en 2025, avec l’entrée en vigueur de l’ordonnance sur la cybersécurité (OCyS), mise en consultation ce 22 mai. 

Dans l'ordonnance, la Confédération indique comment l'obligation de notification des cyberattaques doit être mise en œuvre pour les infrastructures critiques. Les dispositions relatives aux exceptions à l'obligation de notification constituent également un élément clé. Selon le communiqué, les autorités et les organisations pour lesquelles une cyberattaque n'a pas d'impact direct sur le fonctionnement de l'économie ou le bien-être de la population sont explicitement exemptées de l'obligation de notification. L'article 16 de l'ordonnance contient toute une série de valeurs seuils pour certaines entreprises, par exemple dans le secteur de l'énergie ou des transports publics.

Par exemple, les fournisseurs et exploitants de cloud computing et de moteurs de recherche ainsi que les centres de calcul ayant leur siège en Suisse ne sont soumis à l'obligation de déclaration que s'ils fournissent leurs prestations en partie ou en totalité à des tiers et contre rémunération, écrit la Confédération dans ses explications.  En outre, les centres de calcul qui fournissent leurs prestations exclusivement pour leurs propres besoins ne sont pas soumis à cette obligation.

Lorsqu'aucun seuil concret n'est défini, la règle est la suivante: «une dispense générale est accordée aux entreprises employant moins de cinquante personnes et affichant un chiffre d’affaires ou un bilan annuels inférieur à dix millions de francs ainsi qu’aux autorités responsables d’une communauté de moins de 1000 personnes». Les autorités fédérales précisent que les administrations de ces communes, généralement petites, voire très petites, ne doivent pas être surchargées par une obligation d'annonce. Les exceptions à cette dérogation sont les fournisseurs et les exploitants de services et d'infrastructures qui servent à l'exercice des droits politiques. Ceux-ci sont soumis à l'obligation d'annoncer même s'ils proposent leurs services et infrastructures à moins de 1000 habitantes et habitants. 

Une récente étude a montré que de nombreuses entreprises ne savent pas si elles doivent déclarer ou les cyberattaques qui les touchent. Il faut s'attendre à de l'incertitude, admet la Confédération. Elle donne donc la possibilité aux autorités et organisations intéressées de s'adresser à l'Office fédéral de la cybersécurité (OFCS) et de demander à être soumises à une obligation de déclaration - ou à en être exemptées. Pour ce faire, les demandeurs doivent mettre à disposition de l'office fédéral tous les documents nécessaires. Les informations fournies par l’OFCS sont en outre un instantané, ajoute l'administration fédérale. En cas de modification importante des faits ou circonstances pertinents, il incombe à l'organisation concernée de se conformer immédiatement à l'obligation de déclaration ou, en cas d'incertitude, de frapper à nouveau à la porte de l’OFCS. Le règlement contient également des définitions plus précises des attaques qui doivent être concrètement notifiées, réparties dans différentes sections. 

La consultation de l’ordonnance sur la cybersécurité (OCyS) va durer jusqu'au  13 septembre 2024.