I. Contexte et objectifs

L’obligation d’annonce consti­tue un jalon majeur dans la stra­té­gie natio­nale visant à préve­nir et à gérer les cyber­risques. Les cybe­rat­taques contre les infra­struc­tures critiques — notam­ment les banques, les infra­struc­tures de marchés finan­ciers, les pres­ta­taires cloud et les assu­rances — repré­sentent une menace crois­sante pour la sécu­rité publique et la rési­lience écono­mique de la Suisse. Dans un tel contexte, les auto­ri­tés ont souhaité doter l’Office fédé­ral de la Cybersécurité OFCS) d’une vision d’ensemble sur les cybe­rat­taques en Suisse, afin de permettre à l’OFCS de pouvoir infor­mer et assis­ter les victimes poten­tielles. Aussi, et pour ce faire, il est néces­saire que l’OFCS soit informé des cybe­rat­taques visant leurs moyens informatiques.

II. Champ d’application

L’obligation d’annonce des cybe­rat­taques s’applique à divers types d’entités, dont notamment :

• les banques, assu­rances et infra­struc­tures des marchés finan­ciers ( 74b let. e LSI) ;
• les assu­rances sociales, dont les insti­tu­tions de prévoyance et de libre passage, qu’elles soient enre­gis­trées ou non ( 74b let. j LSI) ; à l’inverse, la prévoyance indi­vi­duelle liée ou libre (piliers 3A et 3B) n’est pas soumise à l’obligation de notification ;
• les hautes écoles ( 74b let. a LSI) ;
• les auto­ri­tés fédé­rales, canto­nales et commu­nales ( 74b let. b LSI) ; et
• les orga­ni­sa­tions char­gées de tâches de droit public dans les domaines de la sécu­rité et du sauve­tage, de l’approvisionnement en eau potable, du trai­te­ment des eaux usées et de l’élimination des déchets ( 74b let. c LSI).

La liste de toutes les enti­tés soumises à l’obligation d’annonce se trouve à l’art. 74b LSI. L’OCyS prévoit quelques excep­tions à cette obli­ga­tion d’annonce (art. 12ss OCyS).

III. Obligation d’annonce

A. Élément déclen­cheur de l’obligation d’annonce

Les exploi­tants d’infrastructures critiques ont ainsi l’obligation de signa­ler toute cybe­rat­taque qui, alter­na­ti­ve­ment (art. 74d LSI et art. 14 OCyS) :

• met en péril le fonc­tion­ne­ment de l’infrastructure critique concer­née, e. :
  • lorsque des colla­bo­ra­teurs ou des tiers sont touchés par des inter­rup­tions de système ; ou
  • lorsque l’infrastructure critique touchée ne peut main­te­nir ses acti­vi­tés qu’à l’aide de plans d’urgence ;
• a entraîné une mani­pu­la­tion ou une fuite d’informations, ce qui signi­fie que les hackers sont en mesure d’accéder de manière non auto­ri­sée à des données de l’infrastructure critique et de les modi­fier, chif­frer, voler, effa­cer, commu­ni­quer ou rendre acces­sibles à des tiers non auto­ri­sés. Par exemple, il y a mani­pu­la­tion ou fuite d’informations lorsque : 
  • des infor­ma­tions impor­tantes pour les affaires sont consul­tées, modi­fiées ou publiées par des personnes non auto­ri­sées ; ou
  • la viola­tion de la sécu­rité des données est signa­lée au Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence confor­mé­ment à l’art. 24 LPD.
• n’a pas été détec­tée pendant une période prolon­gée (e. 90 jours), en parti­cu­lier si des indices laissent penser qu’elle a été exécu­tée en vue de prépa­rer d’autres cybe­rat­taques ; ou
• s’accompagne d’actes de chan­tage, de menaces ou de contrainte envers l’exploitant d’une infra­struc­ture critique, ses respon­sables, ses colla­bo­ra­teurs (actuels ou anciens) ou contre ses représentants.

L’OFCS est en charge de rece­voir, d’analyser et de coor­don­ner les réac­tions aux rapports de cyberattaques.

B. Délai et forme du signalement

Si les condi­tions de l’obligation d’annonce sont réali­sées, l’exploitant d’une infra­struc­ture critique doit signa­ler la cybe­rat­taque à l’OFCS dans les 24 heures suite à la détec­tion de l’attaque (art. 74e al. 1 LSI). L’OFSC met à dispo­si­tion sur son site inter­net un formu­laire d’annonce.

Si toutes les infor­ma­tions requises par la LSI et l’OCyS (voir infra) ne sont pas dispo­nibles au moment du signa­le­ment, l’exploitant d’une infra­struc­ture critique peut complé­ter ce dernier dans un second temps, dans un 14 jours suivant ledit signa­le­ment (art. 74e al. 3 LSI cum art. 16 al. 1 OCyS). À noter que si l’exploitant d’une infra­struc­ture critique ne commu­nique pas les infor­ma­tions requises dans ce délai de 14 jours, l’OFCS lui demande de complé­ter immé­dia­te­ment le signa­le­ment ou de lui confir­mer que ces infor­ma­tions ne sont pas dispo­nibles (art. 16 al. 2 OCyS).

C. Contenu du signalement

Le signa­le­ment doit conte­nir des infor­ma­tions sur (art. 74e al. 2 LSI et art. 15 OCyS) :

• la nature et l’exécution de la cyberattaque : 
  • la date et l’heure de la consta­ta­tion de la cyberattaque ;
  • la date et l’heure de la cybe­rat­taque (si elles ne sont pas connues, l’heure suppo­sée de la cybe­rat­taque peut être indiquée) ;
  • le type de cybe­rat­taque (p. ex. DDoS, accès non auto­risé, mali­ciel, abus ou utili­sa­tion inadé­quate de l’infrastructure technologique) ;
  • le vecteur d’attaque (p. ex. phishing, exploi­ta­tion de vulné­ra­bi­li­tés, attaques par satu­ra­tion des serveurs, vol d’identité) ; et
  • les données sur le hacker (p. ex. adresse IP, données DNS, URL de pages suspectes, valeurs de hachage de mali­ciels, signa­tures de virus, anoma­lies dans le trafic réseau ou compor­te­ment suspect d’un logiciel).
• l’existence ou non d’un chan­tage, d’une menace ou d’une contrainte en lien avec l’attaque ;
• le fait que l’attaque a fait l’objet ou non d’une plainte pénale ;
• les consé­quences de la cyberattaque : 
  • la gravité du préju­dice sur la dispo­ni­bi­lité, l’intégrité et la confi­den­tia­lité des infor­ma­tions propres et de celles de tiers : selon l’évaluation des consé­quences de la cybe­rat­taque, un degré de gravité sera affecté au préju­dice subi avec la quali­fi­ca­tion « faible, moyen, élevé ou grave », comme sur le formu­laire de signa­le­ment de la FINMA (à noter que cette clas­si­fi­ca­tion nour­rit aussi la prise de déci­sion lorsque l’aide de l’OFCS est deman­dée concer­nant la suite concrète à donner pour gérer la cybe­rat­taque, voir infra) ; et
  • les effets sur le fonc­tion­ne­ment de l’exploitant de l’infrastructure critique : ces infor­ma­tions doivent ainsi indi­quer l’ampleur des effets sur le fonc­tion­ne­ment de l’exploitant de l’infrastructure critique (notam­ment quant à l’accès aux systèmes et aux données, la dispo­ni­bi­lité des services pour les clients ou les citoyens et les proces­sus internes, etc.). À cet égard, l’exploitant d’une infra­struc­ture critique peut égale­ment s’exprimer sur l’intervalle de temps et la durée des réper­cus­sions de la cybe­rat­taque et donner son pronos­tic sur la durée des consé­quences de cette dernière.
• les mesures prises et, si elles sont connues, sur les mesures prévues (cette infor­ma­tion ressort du formu­laire de l’OFCS et non des dispo­si­tions légales) ; et
• si le signa­le­ment n’est pas trans­mis via les canaux de l’OFCS, la raison sociale, le nom et l’adresse de l’exploitant de l’infrastructure critique, ainsi que les coor­don­nées de l’auteur du signalement.

IV. Conséquences du signalement

A. Soutien de l’OFCS

L’art. 74 al. 3 LSI permet à l’OFCS d’assister les exploi­tants d’infrastructures critiques dans la gestion des cybe­rat­taques et cyber­me­naces, sous réserve que le fonc­tion­ne­ment de ces infra­struc­tures soit en péril et qu’un soutien équi­valent ne soit pas dispo­nible rapi­de­ment sur le marché. Ce soutien, basé sur des analyses tech­niques et des conseils orga­ni­sa­tion­nels, est facul­ta­tif et inclut l’identification des causes d’incidents, l’analyse des vulné­ra­bi­li­tés, et des recom­man­da­tions pour mieux gérer ces situations.

À noter toute­fois qu’en cas de demandes massives de soutien (art. 5 al. 1 OCyS) ou de cybe­rat­taques se déclen­chant simul­ta­né­ment (art. 5 al. 2 OCyS), l’OFCS prio­rise les cybe­rat­taques selon leur impact sur la sécu­rité, l’ordre public, le bien-être ou l’économie, en concen­trant ses ressources sur les événe­ments les plus graves. Cette prio­ri­sa­tion garan­tit une assis­tance rapide et adap­tée aux infra­struc­tures critiques, renfor­çant ainsi la rési­lience et la stabi­lité du pays face à des cyber­me­naces majeures.

B. Transmission d’informations entre autorités

Le formu­laire d’annonce de l’OFCS permet aux exploi­tants d’infrastructures critiques de deman­der que les infor­ma­tions y incluses soient immé­dia­te­ment trans­mises à d’autres auto­ri­tés compétentes.

Aussi, concrè­te­ment, lors du signa­le­ment initial d’une cybe­rat­taque, le formu­laire de l’OFCS contient une option permet­tant de trans­mettre les infor­ma­tions à d’autres auto­ri­tés concer­nées, notam­ment la FINMA et le PFPDT. Cette option prend la forme de cases à cocher dans le formulaire.

Il sied toute­fois de noter que l’harmonisation permise par le formu­laire de l’OFCS est partielle, dans la mesure où ce dernier permet, si néces­saire, une annonce simul­ta­née en faveur de plusieurs auto­ri­tés, telles que la FINMA, le PFPDT, l’Office fédé­ral des assu­rances sociales (OFAS) pour les organes d’exécution de l’AVS, et le Secrétariat d’État à la poli­tique de sécu­rité (SEPOS) pour les unités admi­nis­tra­tives de l’administration fédérale.

Pour ce faire, l’exploitant d’une infra­struc­ture critique doit concrè­te­ment cocher, dans le formu­laire de l’OFCS, la case « Transmettre à [la FINMA/​au PFPDT/​…] » afin que l’annonce soit trans­mise à l’autorité corres­pon­dante. L’exploitant d’une infra­struc­ture critique doit égale­ment véri­fier si les infor­ma­tions requises pour toutes les annonces néces­saires (e.g., FINMA, PFPDT, OFCS) sont prévues dans le formu­laire de l’OFCS. Si tel n’est pas le cas, l’exploitant devra trans­mettre les infor­ma­tions addi­tion­nelles direc­te­ment aux autres autorités.

Après cette annonce initiale, le trai­te­ment ulté­rieur du dossier est effec­tué sépa­ré­ment par chaque auto­rité compé­tente. Les éven­tuelles demandes complé­men­taires ou préci­sions ne peuvent donc plus être soumises via le formu­laire de l’OFCS. Aussi, quand bien même cette approche répond à l’objectif prin­ci­pal d’éviter une double saisie des infor­ma­tions initiales, un échange direct avec les diffé­rentes auto­ri­tés peut rester néces­saire, car les obli­ga­tions d’annonce pour­suivent des objec­tifs distincts et peuvent néces­si­ter des infor­ma­tions spécifiques.

C. Conséquences en cas de viola­tion de l’obligation de signaler

Si des indices laissent présu­mer une viola­tion de l’obligation de signa­ler, l’OFSC en informe l’exploitant d’une infra­struc­ture critique et lui fixe un délai appro­prié pour s’acquitter de son obli­ga­tion (art. 74g al. 1 LSI). Si ce dernier ne s’acquitte pas de son obli­ga­tion dans ce délai, l’OFCS rend une déci­sion dans laquelle il lui fixe un nouveau délai et l’informe qu’elle est mena­cée d’une amende (art. 74g al. 2 LSI).

En l’absence de recti­fi­ca­tion après ces aver­tis­se­ments, une amende de CHF 100’000.- au maxi­mum pourra être infli­gée à la personne physique en charge de l’obligation de signa­le­ment (art. 74h al. 1 et 2 LSI). A noter toute­fois que les bases légales rela­tives aux amendes n’entreront en vigueur qu’au 1 octobre 2025, afin de lais­ser le temps aux auto­ri­tés et aux orga­ni­sa­tions concer­nées de s’adapter au nouveau système. L’obligation de signa­le­ment s’applique pendant les 6 premiers mois, mais sans sanc­tion en l’absence de décla­ra­tion pendant cette période.

V. Conclusion

L’entrée en vigueur de l’obligation d’annonce des cybe­rat­taques repré­sente une avan­cée majeure pour la cyber­sé­cu­rité en Suisse. En centra­li­sant les signa­le­ments, l’OFCS acquiert une vue d’ensemble précieuse pour infor­mer et soute­nir les acteurs concer­nés, tout en offrant des analyses et des conseils adap­tés en cas de crise. De plus, la mise en place de sanc­tions dissua­sives souligne l’importance de la confor­mité et de la respon­sa­bi­lité dans la gestion des cyberrisques.

En conclu­sion, cette obli­ga­tion d’annonce témoigne de l’engagement de la Suisse à renfor­cer sa sécu­rité numé­rique, tout en assu­rant une coor­di­na­tion effi­cace entre les exploi­tants d’infrastructures critiques et l’État, contri­buant ainsi à la protec­tion de l’économie et de la société face aux défis du cyberespace.