Cyberattaques contre des infrastructures critiques - Les sanctions entrent en vigueur
Seit dem 1. April 2025 gilt in der Schweiz die gesetzliche Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Das Bundesamt für Cybersicherheit (BACS) zieht nach den ersten sechs Monaten eine positive Bilanz. Bisher sind insgesamt 164 Meldungen von kritischen Infrastrukturen eingegangen. Ab dem 1. Oktober 2025 treten die vorgesehenen Sanktionen bei Nichtmeldung in Kraft.

L'obligation de notifier les cyberattaques contre les infrastructures critiques est en vigueur depuis six mois. Dans l'ensemble, l'Office fédéral de la cybersécurité (OFPC) se montre satisfait de la mise en œuvre : les exploitants d'infrastructures critiques se conforment à l'obligation dans les délais et signalent les cyberattaques dans les 24 heures. Il est particulièrement positif de constater que les déclarants utilisent le Cyber Security Hub, ce qui simplifie considérablement le traitement pour le BACS. Avant même l'introduction de l'obligation de notification, il existait déjà une étroite relation de confiance entre le BACS et de nombreux exploitants d'infrastructures critiques. Cette collaboration de longue date a constitué la base du lancement réussi de l'obligation de notification.
164 Notifications d'infrastructures critiques
Au total, le BACS a reçu 164 notifications d'infrastructures critiques depuis début avril. Les attaques DDoS ont été le plus souvent signalées (18,1%), suivies par le piratage (16,1%), les ransomwares (12,4%), le vol d'identité (11,4%), les fuites de données (9,8%), et les malwares (9,3%). Dans plusieurs cas, des phénomènes combinés ont été décrits, comme par exemple des attaques de ransomware avec fuite simultanée de données. Les secteurs concernés sont variés. Le secteur financier a été le plus touché jusqu'à présent (19%), suivi par le secteur informatique (8,7%) et le secteur de l'énergie (7,6%). D'autres annonces proviennent des autorités, du secteur de la santé, des entreprises de télécommunication, ainsi que, de manière isolée, du secteur postal, du secteur des transports, du secteur des médias, de l'approvisionnement en denrées alimentaires et du secteur technologique.
Renforcer l'échange d'informations
Les messages reçus font l'objet d'une saisie statistique et d'une analyse. Les informations ainsi obtenues aident non seulement à réagir concrètement à un incident, mais contribuent également à mieux évaluer la situation nationale en matière de menace et servent à alerter à temps d'autres organisations potentiellement concernées. Depuis l'entrée en vigueur de l'obligation de notification, beaucoup plus d'organisations participent directement à l'échange d'informations. De ce fait, les alertes et les recommandations parviennent aujourd'hui à un nombre nettement plus important d'acteurs par la voie directe.
Les sanctions en cas de non-déclaration s'appliqueront à partir du 1er octobre 2025
A partir du 1er octobre 2025, les sanctions prévues par la loi sur la sécurité de l'information entreront en vigueur. Les exploitants d'infrastructures critiques qui ne respectent pas leur obligation d'annoncer peuvent se voir infliger une amende pouvant aller jusqu'à 100'000 francs. Si le BACS a des indices qu'une annonce a été omise, il est tenu de contacter d'abord les exploitants d'infrastructures critiques. Ce n'est que si ces derniers ne réagissent pas à cette prise de contact et à la décision qui s'ensuit que l'OFPC peut déposer une plainte pénale.
Source : Bacs