20.08.2025 - S’il est essentiel pour garantir la cybersécurité d’éviter toute faille de sécurité, il n’existe en Suisse pratiquement aucune directive sur la cyberrésilience des produits numériques. Lors de sa séance du 20 août 2025, le Conseil fédéral a donc chargé le DDPS d’élaborer un projet de procédure de consultation législative en collaboration avec le DETEC et DEFR. Les nouvelles bases légales doivent renforcer les exigences en matière de sécurité pour les produits comportant des éléments numériques et répondre ainsi aux requêtes de la motion 24.3810 « Réalisation de contrôles de cybersécurité urgents et nécessaires » déposée par la Commission de la politique de sécurité du Conseil des États.
Les failles de sécurité touchant les logiciels ou le matériel informatique sont une porte d’entrée idéale pour les cybercriminels. Elles leur permettent de s’introduire rapidement dans de nombreux systèmes. Étant donné que les produits individuels sont souvent interconnectés, une cyberattaque peut entraîner d’importants dommages physiques ou économiques. Dans le cas de produits utilisés dans des infrastructures critiques, des failles peuvent mettre en danger la sécurité nationale. Quand bien même il est essentiel pour garantir la cybersécurité d’éviter ou de combler toute faille de sécurité, il n’existe en Suisse pratiquement aucune disposition sur la cyberrésilience des produits numériques.
Nécessité de légiférer sur la cyberrésilience des produits numériques
L’absence d’exigences en matière de cybersécurité a déjà été abordée à plusieurs reprises au Parlement. En déposant la motion 24.3810 « Réalisation de contrôles de cybersécurité urgents et nécessaires », la Commission de la politique de sécurité du Conseil des États a chargé le Conseil fédéral de pallier ce manque.
Le Conseil fédéral a donc chargé l’Office fédéral de la cybersécurité (OFCS) d’élaborer, en collaboration avec l’Office fédéral de la communication (OFCOM) et le Secrétariat d’État à l’économie (SECO), un projet de procédure de consultation législative sur la cyberrésilience des produits numériques d’ici l’automne 2026. Les nouvelles bases légales doivent déterminer des règles sur la sécurité lors du développement et de la mise sur le marché de produits comportant des éléments numériques, fixer la manière de mettre en œuvre la surveillance du marché de ces produits et interdire l’importation et la distribution des appareils peu sûrs.
Législation en phase avec le contexte international
Lors de l’élaboration des bases légales, il convient de prendre en considération le contexte international, notamment le règlement sur la cyberrésilience de l’UE (CRA, Cyber Resilience Act), entré en vigueur le 11 décembre 2024. L’objectif est de concevoir une législation adaptée à la place économique helvétique, en veillant à ce que les entreprises suisses actives sur le plan international ne soient pas soumises à des contraintes supplémentaires en raison de contradictions juridiques et que leur charge administrative reste aussi faible que possible.
Dernière modification 20.08.2025
