Retour
Assurances - Gestion des risques | publié par Loyco | 02.04.2025
Obligation de signaler les cyberattaques

Infrastructures critiques: obligation de signaler les cyberattaques

Depuis le 1er avril 2025, une nouvelle obligation impose aux exploitants d’infrastructures critiques en Suisse de signaler toute cyberattaque à l’Office fédéral de la cybersécurité (OFCS) dans un délai de 24 heures suivant leur détection. Nos spécialistes en Risk Management, Grégoire Mottier, et en cyber risques, Lionel Ducommun, se sont penchés sur cette mesure phare.

Cette nouvelle mesure vise à renforcer la résilience des organisations concernées face à la menace croissante des cyber incidents et à assurer une réaction rapide pour protéger les secteurs essentiels du pays.

Une approche proactive

Face à la recrudescence des attaques informatiques, la Suisse se dote d’un cadre plus strict pour assurer la protection des infrastructures stratégiques du pays grâce à une approche proactive désormais indispensable. Cette nouvelle réglementation, issue d’une modification de la loi sur la sécurité de l’information adoptée en 2023, vise à garantir une coordination efficace entre l’OFCS et les entreprises concernées afin de maîtriser rapidement les incidents et limiter leurs impacts.

Quels secteurs sont concernés?

Les secteurs touchés par cette obligation incluent:

  • Énergie: électricité, gaz, pétrole
  • Approvisionnement en eau potable
  • Transports: ferroviaire, routier, aérien, maritime
  • Santé: hôpitaux, cliniques, services d’urgence
  • Finances: banques, assurances, marchés financiers
  • Technologies de l’information et de la communication: télécommunications, internet
  • Alimentation: production, distribution
  • Administration publique: services gouvernementaux, collectivités locales, communes
  • Sécurité publique: police, services de secours

Des défis à ne pas sous-estimer

Cette nouvelle réglementation pose plusieurs questions essentielles pour les acteurs concernés:

  • Les dispositifs de sécurité existants sont-ils toujours adaptés aux cybermenaces actuelles?
  • Les risques de manipulation ou de fuite d’informations sont-ils suffisamment anticipés?
  • Les acteurs concernés disposent-ils des outils nécessaires pour une déclaration rapide et efficace?
  • Les remontées d’incidents même mineurs sont-elles systématiquement actives?
  • Les conditions-cadres du droit à l’erreur au sein des organisations concernées sont-elles appliquées de manière radicale?

Un dispositif simplifié

Pour accompagner cette transition, un formulaire de signalement dédié a été mis en place sur une plateforme dédiée. Ce dispositif permet aux exploitants de déclarer rapidement un incident et d’ajouter des informations complémentaires dans un délai de 14 jours si nécessaire.

Voir à ce sujet l’obligation de signaler les cyberattaques contre des infrastructures critiques entre en vigueur le 1er avril 2025.

Par ailleurs, les sanctions pour non-respect de cette obligation ne seront appliquées qu’à partir du 1er octobre 2025, laissant une période d’adaptation de six mois aux entreprises.

Un engagement renforcé des autorités fédérales

Avec cette nouvelle mesure, la Suisse réaffirme sa volonté de protéger ses infrastructures stratégiques et de favoriser une coopération étroite entre les secteurs public et privé.

Contactez-nous !

Vous souhaitez en savoir plus sur la gestion des risques ou les cyberattaques? Nos experts vous répondent:
📩 Grégoire Mottier: gmottier@loyco.ch
📩 Lionel Ducommun: lducommun@loyco.ch

 

NDLR: Cet article a été rédigé en français et traduit de manière automatique en anglais et en allemand.