Cyber-notification obligatoire : «Si personne ne prend ses responsabilités, c'est toute l'entreprise qui est touchée».»
Le plus grand défi dans les projets OT réside dans la planification précoce : une analyse claire des risques et moins de complexité. Que se passe-t-il si elles ne sont pas clairement définies et qu'un cyberincident survient ?
Quand personne n'est préparé
Ce cas hypothétique, mais proche de la réalité, met en évidence les points faibles.
Printemps 2025 : dans un laboratoire médical employant 80 personnes, un cyberincident se produit via le système d'automatisation du bâtiment. Une interface de télémaintenance n'était pas suffisamment sécurisée. Des pirates ont introduit des instructions de commande. Les zones de ventilation et de climatisation ont été modifiées de manière incontrôlée. Les températures ont augmenté dans plusieurs salles de laboratoire, des échantillons ont été endommagés et des appareils sensibles n'ont plus réagi de manière fiable. L'entreprise s'est arrêtée. Les résultats d'analyse n'ont pas pu être livrés. La perte d'exploitation et le préjudice de réputation qui en ont résulté ont été énormes.
Mais, la vraie erreur ?
L'obligation de notification a été sous-estimée. Les responsabilités n'étaient pas réglées, les procédures, les processus et les rôles n'étaient pas définis. «Les structures et les processus doivent être en place avant de perdre un temps précieux en période de crise.», a déclaré Christoph Steiner.
Qui est concerné ? - juridiquement contraignant, sous-estimé en termes d'organisation
Depuis le 1er avril 2025, les exploitants d'infrastructures critiques sont soumis à l'obligation de cyberdéclaration (art. 74ss LSI). Il ne s'agit pas seulement de technique. Mais plutôt de responsabilités claires au niveau du management, de l'informatique, du FM et de la communication de crise.
La préparation est la meilleure planification :
- Analyse de l'état actuel des objectifs de protection
- Ateliers avec les bonnes questions
- Analyse des risques
- Décision sur les mesures de protection
- Mise en œuvre et formation
«La mise en place de l'organisation de crise fait partie de la planification. Il en va de même pour les tests et les exercices.», souligne Christoph Steiner.
Conclusion : la sécurité doit être gérée, pas seulement construite
Quiconque assume des responsabilités - que ce soit dans la planification, l'exploitation ou l'informatique - doit aujourd'hui penser différemment le thème de la sécurité OT.
L'obligation légale de notification n'est pas une tâche purement technique. Elle nécessite un regard interdisciplinaire sur la sécurité d'exploitation, l'organisation et la gestion des risques. Les exploitants, les maîtres d'ouvrage et les planificateurs doivent créer des structures qui fonctionnent en cas d'urgence.
Car le dommage ne commence pas avec l'incident. Mais à partir du moment où l'on pense que quelqu'un d'autre est responsable.
Connaissez-vous vos risques ? En cas d'urgence, il faut un plan.
Nous vous soutenons depuis l'analyse des risques jusqu'au processus de notification.
Pour que les responsabilités soient clairement définies et que la sécurité fonctionne.
EPRO SECURE GmbH
Planification globale et intégrale de la sécurité
Bahnhofstrasse 4, 3073 Gümligen, Suisse
Tél. fixe : +41 58 502 73 60
Courrier électronique : info@eprosecure.ch
