Cyberattaques contre des infrastructures critiques - Les sanctions entrent en vigueur
Depuis le 1er avril 2025, l'obligation légale de déclarer les cyberattaques contre les infrastructures critiques est en vigueur en Suisse. L'Office fédéral de la cybersécurité (OCSE) dresse un bilan positif après les six premiers mois. Jusqu'à présent, 164 notifications d'infrastructures critiques ont été reçues au total. Les sanctions prévues en cas de non-notification entreront en vigueur à partir du 1er octobre 2025.
L'obligation de notifier les cyberattaques contre les infrastructures critiques est en vigueur depuis six mois. Dans l'ensemble, l'Office fédéral de la cybersécurité (OFPC) se montre satisfait de la mise en œuvre : les exploitants d'infrastructures critiques se conforment à l'obligation dans les délais et signalent les cyberattaques dans les 24 heures. Il est particulièrement positif de constater que les déclarants utilisent le Cyber Security Hub, ce qui simplifie considérablement le traitement pour le BACS. Avant même l'introduction de l'obligation de notification, il existait déjà une étroite relation de confiance entre le BACS et de nombreux exploitants d'infrastructures critiques. Cette collaboration de longue date a constitué la base du lancement réussi de l'obligation de notification.
164 Notifications d'infrastructures critiques
Au total, le BACS a reçu 164 notifications d'infrastructures critiques depuis début avril. Les attaques DDoS ont été le plus souvent signalées (18,1%), suivies par le piratage (16,1%), les ransomwares (12,4%), le vol d'identité (11,4%), les fuites de données (9,8%), et les malwares (9,3%). Dans plusieurs cas, des phénomènes combinés ont été décrits, comme par exemple des attaques de ransomware avec fuite simultanée de données. Les secteurs concernés sont variés. Le secteur financier a été le plus touché jusqu'à présent (19%), suivi par le secteur informatique (8,7%) et le secteur de l'énergie (7,6%). D'autres annonces proviennent des autorités, du secteur de la santé, des entreprises de télécommunication, ainsi que, de manière isolée, du secteur postal, du secteur des transports, du secteur des médias, de l'approvisionnement en denrées alimentaires et du secteur technologique.
Renforcer l'échange d'informations
Les messages reçus font l'objet d'une saisie statistique et d'une analyse. Les informations ainsi obtenues aident non seulement à réagir concrètement à un incident, mais contribuent également à mieux évaluer la situation nationale en matière de menace et servent à alerter à temps d'autres organisations potentiellement concernées. Depuis l'entrée en vigueur de l'obligation de notification, beaucoup plus d'organisations participent directement à l'échange d'informations. De ce fait, les alertes et les recommandations parviennent aujourd'hui à un nombre nettement plus important d'acteurs par la voie directe.
Les sanctions en cas de non-déclaration s'appliqueront à partir du 1er octobre 2025
A partir du 1er octobre 2025, les sanctions prévues par la loi sur la sécurité de l'information entreront en vigueur. Les exploitants d'infrastructures critiques qui ne respectent pas leur obligation d'annoncer peuvent se voir infliger une amende pouvant aller jusqu'à 100'000 francs. Si le BACS a des indices qu'une annonce a été omise, il est tenu de contacter d'abord les exploitants d'infrastructures critiques. Ce n'est que si ces derniers ne réagissent pas à cette prise de contact et à la décision qui s'ensuit que l'OFPC peut déposer une plainte pénale.
Source : Bacs
