Le Parlement a décidé d’introduire une obligation de signaler les cyberattaques touchant des infrastructures critiques. Ainsi, l’Office fédéral de la cybersécurité (OFCS) obtiendra une meilleure vue d’ensemble des cyberattaques affectant la Suisse et des procédés utilisés par les pirates. L’ordonnance sur la cybersécurité (OCyS), qui se trouve en consultation jusqu’au 13 septembre 2024, réglera la mise en œuvre de la nouvelle obligation.
Des cyberattaques réussies peuvent avoir de vastes répercussions sur l’économie suisse en ce qui concerne la disponibilité et la sécurité. La population, les autorités et les entreprises sont quotidiennement exposées à de tels risques. Les annonces à l’OFCS se faisant actuellement sur une base volontaire, il manque une vue d’ensemble des attaques et de leurs cibles. La nouvelle obligation de signaler permettra à l’OFCS d’obtenir un aperçu plus large des cyberattaques touchant la Suisse et des procédés utilisés par les pirates. Ainsi, il sera possible de mieux évaluer l’état de la menace et d’avertir rapidement les exploitants d’infrastructures critiques.
Obligation de signaler inscrite dans la loi sur la sécurité de l’information
Un examen de la faisabilité d’introduire une obligation de signaler a déjà été exigé lors de l’établissement de la stratégie nationale de protection de la Suisse contre les cyberrisques pour les années 2018 à 2022. En 2021, le Conseil fédéral a décidé de créer les bases légales permettant d’introduire une telle obligation au moyen d’une adaptation de la loi sur la sécurité de l’information (LSI). Il a mis en consultation la modification de cette dernière le 12 janvier 2022. La procédure a montré que les milieux économiques, le secteur de la recherche et les cantons seraient en principe favorables à la nouvelle exigence. Le 2 décembre 2022, le Conseil fédéral a approuvé le message relatif à la modification de la LSI visant à mettre en place une obligation de signaler les cyberattaques contre les infrastructures critiques. Le Parlement a adopté la modification de la LSI le 29 septembre 2023.
Procédure de consultation concernant l’ordonnance sur la cybersécurité
Avec l’OCyS, le Conseil fédéral montre comment il entend concrétiser l’obligation de signaler et désigne les organes qui en seront exemptés. Ainsi, l’OCyS fixe les exceptions à la nouvelle obligation pour les autorités et les organisations, définit les cyberattaques à signaler et précise les contenus devant être annoncés. Elle indique aussi les procédures permettant de remplir cette obligation et règle les délais et la conclusion des signalements.
Le Conseil fédéral a mis l’OCyS en consultation le 22 mai 2024. La procédure court jusqu’au 13 septembre 2024.
Pour que les personnes concernées puissent voir comment l’obligation sera concrétisée, l’OFCS a créé une ébauche de formulaire de signalement qui montre les données qui seront demandées et sous quelle forme. Disponible actuellement en tant que document, le formulaire sera mis en ligne sur le Cyber Security Hub de l’OFCS dès l’entrée en vigueur de l’obligation de signaler.
Prochaines étapes
L’OCyS sera soumise au Conseil fédéral à l’issue de la procédure de consultation. L’obligation de signaler les cyberattaques touchant des infrastructures critiques sera probablement introduite au cours du premier semestre 2025.
Informations complémentaires
Dernière modification 07.08.2024