Dès le 1er avril 2025, la Suisse rendra obligatoire le signalement des cyberattaques visant les infrastructures critiques. Cette obligation, issue de la révision de la Loi sur la sécurité de l’information (LSI), impose aux opérateurs de secteurs comme l’énergie, l’approvisionnement en eau, les transports et l’administration publique de notifier le Centre national pour la cybersécurité (NCSC) dans un délai de 24 heures après la détection d’une attaque.
Les incidents concernés incluent ceux mettant en péril le fonctionnement des infrastructures, entraînant des manipulations ou des fuites de données, ou impliquant du chantage. L’absence de déclaration ne sera pas immédiatement sanctionnée, mais à partir du 1er octobre 2025, les contrevenants s’exposeront à des amendes. Les signalements pourront être effectués via le Cyber Security Hub du NCSC ou par email via un formulaire dédié. Une nouvelle ordonnance sur la cybersécurité précisera les exemptions et coordonnera cette obligation avec d’autres régulateurs comme la FINMA et le Préposé fédéral à la protection des données et à la transparence.
Analyse de nos experts :
Avec cette mesure tardive mais nécessaire, la Suisse se conforme enfin aux standards internationaux, notamment la directive NIS de l’UE. Cependant, la période de six mois sans sanctions risque de générer des failles de conformité. Parier sur la bonne volonté des entreprises jusqu’en octobre est un choix risqué, fondé sur l’hypothèse qu’elles agiront de manière proactive sans contrainte légale immédiate.
Si cette initiative renforce la transparence et la réponse aux incidents, son efficacité dépendra avant tout de la perception des entreprises : contrainte administrative ou réel levier de sécurité ? Vu l’escalade des cybermenaces, les opérateurs qui tarderont à signaler les attaques auront probablement des problèmes plus urgents à gérer que le paiement d’une amende.
Lisez l’article complet ici.
