Un cadre et une obligation alors que les risques cybernétiques s’accroissent
La nouvelle loi fédérale sur la sécurité de l'information et ses quatre ordonnances d'exécution sont en vigueur depuis bientôt un an. Au premier semestre 2025, ce dispositif sera complété par l'introduction d'une obligation de signaler les cyberattaques visant des infrastructures critiques. Par «infrastructures critiques», on entend les systèmes de services et d'approvisionnement qui sont essentiels à l'économie et aux moyens de subsistance de la population. La date d'entrée en vigueur de l'obligation d’annonce n'est pas encore fixée à ce jour; elle devrait toutefois intervenir au premier semestre 2025.
Pourquoi une obligation d’annonce?
L'obligation d'annonce aura pour objectif de renforcer la cybersécurité en Suisse:
- Elle permettra à l’Office fédéral de la cybersécurité (OFCS) d'identifier à temps les modes d'attaques contre des infrastructures critiques et d'avertir les entreprises et les entités administratives susceptibles d’être touchées.
- Les signalements permettront également à l’OFCS de recommander des mesures de prévention et de protection appropriées aux entreprises et aux entités administratives.
Une bonne partie des fournisseurs de prestations pour les personnes ayant besoin de soutien comptent au nombre des infrastructures critiques.
L'obligation d’annonce s'appliquera aux institutions pour personnes ayant besoin de soutien lorsqu'elles:
- fournissent des prestations de santé, car elles constituent alors un pan des infrastructures critiques de la Suisse;
- ont signé des contrats de prestations avec les autorités cantonales, si elles sont considérées en vertu du droit cantonal comme des organes d'exécution des autorités cantonales;
- fournissent des prestations pour se prémunir contre les conséquences de la maladie, de la vieillesse, de l'invalidité ou de l'impotence.
La nouvelle obligation d'annonce en bref
Les points clés de l'obligation de signaler les cyber-attaques sont les suivants:
- l’OFCS sera l’instance auprès de laquelle il faudra annoncer les cyber-attaques;
- l’annonce devra être effectuée dans les 24 heures suivant la découverte de la cyberattaque;
- en signalant une cyberattaque, l’entreprise visée aura droit au soutien de l’OFCS dans la gestion de l'incident;
- l’annonce pourra être faite par voie électronique via le site web de l’OFCS, comme c’est déjà le cas aujourd’hui;
- les incidents pourront ne pas être annoncés s’ils n’entraînent que des dysfonctionnements mineurs.
Sur requête, l’OFCS indiquera aux entreprises si elles sont soumises à l'obligation d’annonce; toute attaque pourra quoi qu’il en soit être signalées volontairement, comme c'est déjà le cas aujourd'hui.
Site de l’OFCS avec rubrique d’annonce
OFCS: informations pour les entreprises