Concept de gestion coordonnée des cyberincidents
La vaste mise en réseau des systèmes numériques a pour conséquence que les cyberincidents peuvent avoir des répercussions directes sur un grand nombre d'organisations. Pour gérer avec succès les incidents touchant plusieurs organisations, il faut une approche coordonnée de tous les acteurs concernés de l'économie, des cantons et de la Confédération. L'Office fédéral de la cybersécurité (OCSE) a élaboré un concept qui montre comment la Confédération s'organise pour assurer la gestion coordonnée des incidents.
Les cyberincidents peuvent avoir des conséquences importantes. Outre les conséquences directes des pannes de fonctionnement et des perturbations de l'exploitation chez les personnes concernées, ils peuvent également mettre en danger la cybersécurité de tiers. C'est le cas lorsque des données ou des moyens informatiques utilisés par plusieurs acteurs sont concernés. Dans de tels cas, il est essentiel que tous les services concernés soient impliqués dans la gestion de l'incident. Les entreprises, la Confédération et les cantons doivent collaborer rapidement et de manière coordonnée. Des compétences claires et une procédure transparente jouent un rôle central à cet égard, car plus vite on sait qui assume quelles tâches, mieux on peut limiter les dommages. L'entrée en vigueur de la loi sur la sécurité de l'information (LSI) en 2024 ainsi que de l'ordonnance sur la cybersécurité (OCS) et de l'ordonnance sur l'organisation de crise de l'administration fédérale (OCOC) en 2025 ont permis de créer des bases légales pour clarifier les tâches et les compétences.
Un modèle d'évaluation à quatre niveaux pour plus de clarté
Sur la base de ces bases juridiques, le BACS a élaboré un concept qui montre comment la gestion coordonnée des incidents est organisée. L'élément central de ce concept est un modèle de classification des cyberincidents à quatre niveaux : faible, modéré, important et critique. L'évaluation se fait dans une perspective sociétale. L'élément déterminant est le nombre d'organisations concernées en Suisse et l'impact du cyberincident sur l'économie et la population. Selon le niveau, différents processus de coordination sont activés et des organisations spécifiques sont impliquées dans la gestion de l'incident. Pour les incidents de niveau «faible», aucune coordination n'est prévue par le BACS. Pour les incidents de niveau «modéré», le BACS apporte un soutien subsidiaire aux organisations concernées et pour le niveau «important», il assume un rôle actif dans la coordination. Enfin, pour les incidents atteignant le niveau «critique», une demande est adressée au Conseil fédéral pour la mise en place d'une cellule de crise selon les processus prévus à cet effet dans l'OCCR. Le système de classification des cyberincidents garantit que les mesures sont adaptées à l'ampleur réelle de l'incident et que les ressources sont utilisées de manière ciblée. La classification reste flexible et peut évoluer au cours d'un incident, car l'ampleur des cyberattaques n'apparaît souvent pleinement qu'au cours de l'analyse.
Mise en œuvre de la gestion coordonnée des incidents
Les processus de gestion coordonnée des incidents sont déjà en place. Les incidents de niveau «faible» et «modéré» font partie du quotidien et la collaboration du BACS avec les exploitants d'infrastructures critiques et les autorités fédérales et cantonales est bien rodée. Les processus en cas d'incidents de niveau «important» et «critique» sont définis grâce aux bases juridiques désormais en place. Les compétences et les tâches ne sont toutefois pas connues de tous les acteurs dans la même mesure et les processus doivent encore mieux s'établir. Le présent concept doit y contribuer. Le BACS l'utilisera pour informer de manière transparente sur les tâches et les responsabilités en matière de gestion coordonnée des incidents.
Concept de gestion coordonnée des cyberincidents
