Skip to the main content.
Talk to us
Talk to us
Instagram Linkedin YouTube

2 lecture des minutes

Obligation de notification des cyberattaques contre les infrastructures critiques

Picture of Géraldine Wymann Géraldine Wymann : 8 avr. 2025 17:22:03

cybersecurity
Obligation de notification des cyberattaques contre les infrastructures critiques
Une mesure pour renforcer la cybersécurité en Suisse.

À partir d'avril 2025, les exploitants d’infrastructures critiques et les prestataires IT doivent signaler les cyberattaques dans un délai de 24 heures.

Le 7 mars 2025, le Conseil fédéral a décidé d’introduire une obligation d’annonce des cyberattaques pour les exploitants d’infrastructures critiques. Dès le 1er avril 2025, les entreprises concernées et les prestataires IT doivent signaler les cyberattaques à l'Office fédéral de la cybersécurité (OFCS) dans un délai de 24 heures.
Les incidents découverts après plus de 90 jours sont également concernés.

Cette mesure vise à renforcer la résilience face aux cybermenaces et à améliorer la collaboration entre les organisations. Découvrez ici ce que cela signifie.

En résumé:
qui

Qui est concerné ?

  • Les exploitants d’infrastructures critiques (énergie, santé, finance)
  • Les prestataires IT (centres de données, fournisseurs cloud, services de sécurité)
  • Les fabricants disposant d’un accès de maintenance à distance
  • Les entreprises assurant des prestations de sécurité pour des infrastructures critiques
quoi

Que faut-il annoncer?

  • Les attaques mettant en danger l’exploitation
  • La manipulation ou la perte de données sensibles
  • Les cyberattaques non détectées depuis plus de 90 jours
  • Les attaques impliquant chantage, menace ou contrainte
comment

Comment se déroule le signalement ?

  • Le signalement doit être fait au OFCS dans les 24 heures.
  • Utilisez le formulaire de signalement en ligne ou par e-mail.
  • Complétez les informations manquantes dans les 14 jours.
que faire si non-respect

Que se passe-t-il en cas de non-respect ?

  • Période transitoire jusqu’en octobre 2025 : aucune sanction.
  • À partir d’octobre 2025 : amendes pouvant aller jusqu’à 100'000 CHF
et maintenant

Votre action à entreprendre

  • Vérifiez si votre entreprise est concernée.
  • Adaptez vos processus à l’obligation de signalement sous 24h.
  • Sensibilisez vos prestataires IT et vos employés.
  • Améliorez la détection précoce des attaques.
  • Consultez le OFCS en cas de doute.
Procédure de notification : Comment effectuer une notification auprès de l'OFCS

Pour la soumission des signalements, l'OFCS met à disposition un formulaire spécialement conçu sur sa plateforme existante. Si l'accès à cette plateforme n'est pas possible, un signalement peut également être effectué via un formulaire par courriel, disponible sur le site web de l'OFCS. Si toutes les informations requises ne peuvent pas être fournies dans les 24 heures, l'OFCS accorde un délai supplémentaire de 14 jours pour compléter le signalement.

Réglementation transitoire : Délai pour la mise en œuvre

Bien que l'obligation de signalement entre en vigueur le 1er avril 2025, le gouvernement fédéral a décidé de ne rendre effectives les sanctions qu'à partir du 1er octobre 2025. Au cours des six premiers mois suivant l'introduction, l'absence de signalement des cyberattaques ne sera donc pas sanctionnée. Les entreprises et organisations disposeront ainsi du temps nécessaire pour adapter leurs processus internes aux nouvelles exigences.

Cadre juridique : L'LSI et l'OCyS régissent les nouvelles exigences

La nouvelle réglementation repose sur la loi sur la sécurité de l’information révisée au sein de la Confédération (LSI) ainsi que sur la nouvelle ordonnance sur la cybersécurité (OCyS). Ce règlement précise notamment les exceptions à l'obligation de signalement et définit les tâches de l'OFCS ainsi que le cadre pour l'échange d'informations avec d'autres autorités. Parallèlement, la nouvelle procédure de signalement harmonise les exigences avec les obligations existantes, telles que celles prévues par la législation sur la protection des données.

Une étape majeure pour la cybersécurité en Suisse

Avec l'introduction de cette première obligation de signalement intersectorielle des cyberattaques, la Suisse franchit une étape importante dans la construction d'une infrastructure numérique résiliente et s'aligne sur des normes internationales telles que la directive NIS de l'UE.

BNC: Votre partenaire en cybersécurité

BNC aide les entreprises et organisations à mettre en œuvre efficacement les nouvelles exigences et à renforcer leur stratégie de cybersécurité. Découvrez nos services de conseil ici.

 

Cela pourrait vous intéresser...

 

Parallèles entre la LSI suisse et la directive européenne NIS-2

Ce que les entreprises doivent savoir sur les nouvelles exigences en matière de cybersécurité.

 

EN SAVOIR PLUS

BNC_Icon_security-operations-center

 
Communiqué de Presse: VINCI Energies acquiert legroupe Fernao

Communiqué de Presse: VINCI Energies acquiert legroupe Fernao

Picture of Géraldine Wymann Géraldine Wymann : 22 août 2024 08:48:46

21. août 2024 VINCI Energies a signé un accord visant à acquérir le groupe Fernao, l'un des leaders des services de cybersécurité en Allemagne et en...

Read More
Comparaison entre LSI et la directive NIS-2

Comparaison entre LSI et la directive NIS-2

Picture of Géraldine Wymann Géraldine Wymann : 3 déc. 2024 20:46:11

CE QUE LES ENTREPRISES DOIVENT SAVOIR SUR LES NOUVELLES RÉGULATIONS EN MATIÈRE DE SÉCURITÉ INFORMATIQUE Analyse comparative L’Union européenne a...

Consulting Services
Read More
Arctic Wolf attribue le statut de partenaire Gold à BNC en Suisse

Arctic Wolf attribue le statut de partenaire Gold à BNC en Suisse

Picture of Géraldine Wymann Géraldine Wymann : 3 juil. 2024 11:37:27

UNE COLLABORATION RÉUSSIE DEPUIS 2022 11 projets communs et un partenariat solide dans la cybersécurité Arctic Wolf a attribué à la société BNC en...

cybersecurity Arctic Wolf Energie Thun
Read More