Depuis avril 2025, une nouvelle obligation bouleverse la gestion des cyberincidents en Suisse. Les infrastructures critiques doivent désormais signaler toute cyberattaque à l’Office fédéral de la cybersécurité dans un délai strict de 24 heures. Cette mesure répond à une réalité préoccupante : avec 63’000 cyberincidents recensés en 2024, soit un toutes les 8 minutes et demie, la Suisse renforce sa politique de sécurité nationale.
Vous gérez un hôpital, une centrale électrique, une banque ou un réseau de transport ? Cette réglementation vous concerne directement. Le non-respect de l’obligation de signalement expose votre organisation à des amendes pouvant atteindre 100’000 CHF. Au-delà de la sanction financière, c’est toute votre stratégie de réponse aux incidents qui doit être repensée.
Découvrez si votre entreprise entre dans le périmètre des infrastructures critiques et comment vous conformer à cette nouvelle exigence dans les règles.
Qui est considéré comme infrastructure critique en Suisse
La définition d’une infrastructure critique repose sur un principe simple : votre activité est-elle essentielle au fonctionnement de la société suisse ? Si une cyberattaque contre votre organisation peut perturber gravement la vie quotidienne des citoyens, la continuité des services publics ou la stabilité économique, vous entrez probablement dans cette catégorie.
L’OFCS a établi une liste précise des secteurs concernés par l’obligation de signalement. Le secteur de la santé figure en première ligne avec les hôpitaux, cliniques et établissements médico-sociaux de plus de 100 lits. Les infrastructures énergétiques incluent les fournisseurs d’électricité, les distributeurs de gaz et les exploitants de réseaux de chaleur à distance. Les établissements financiers soumis à surveillance comme les banques systémiques et les infrastructures de marché entrent également dans le périmètre.
Les secteurs du transport et des télécommunications complètent cette liste. Les CFF, les aéroports nationaux, les entreprises de transport public régionales et les principaux opérateurs télécoms doivent signaler leurs incidents. L’administration fédérale et certains services cantonaux stratégiques sont aussi visés. Les fournisseurs d’eau potable desservant plus de 100’000 habitants rejoignent ce groupe.
La taille de votre organisation ne suffit pas à vous exclure automatiquement. Une PME fournissant des services critiques à une infrastructure majeure peut être indirectement concernée. Un prestataire informatique gérant les systèmes d’un hôpital ou d’une centrale électrique doit intégrer cette obligation dans ses contrats.
Conseil pratique : L’OFCS met à disposition un questionnaire d’auto-évaluation sur son site internet. Prenez 15 minutes pour le remplir et obtenir une première indication sur votre statut. En cas de doute, contactez directement l’office qui examine chaque situation au cas par cas.
Quels incidents doivent être signalés dans les 24 heures
L’obligation ne couvre pas tous les dysfonctionnements informatiques. Le législateur cible les cyberincidents susceptibles d’affecter la disponibilité, l’intégrité ou la confidentialité de vos systèmes critiques. Une attaque par ransomware qui bloque l’accès à vos données opérationnelles entre clairement dans cette définition. Les groupes Akira, Black Basta et 8Base, particulièrement actifs en Suisse, multiplient ce type d’offensives.
Les intrusions dans vos réseaux confirmées ou fortement suspectées doivent être déclarées. Si vos équipes détectent une activité anormale suggérant la présence d’un acteur malveillant dans vos systèmes, le signalement s’impose même sans certitude absolue. Les fuites de données sensibles concernant vos clients, patients ou usagers déclenchent l’obligation, que la compromission provienne d’une attaque externe ou d’une faille de sécurité interne.
Les attaques par déni de service distribuées (DDoS) qui perturbent significativement vos services en ligne pendant plusieurs heures justifient un signalement. Les tentatives d’hameçonnage ciblé (spear phishing) visant vos dirigeants ou collaborateurs clés nécessitent une vigilance particulière. Si l’attaque réussit et compromet des accès privilégiés, le signalement devient obligatoire.
Le délai de 24 heures court à partir du moment où vous avez connaissance de l’incident. Cette contrainte temporelle implique de disposer d’un dispositif de détection efficace et d’une procédure de remontée d’information rapide. Un incident survenant un vendredi soir doit être signalé au plus tard le samedi soir, week-end ou jour férié compris.
Conseil pratique : Documentez systématiquement l’horodatage de la détection de chaque incident suspect. Cette traçabilité vous protège en cas de contrôle et facilite le respect du délai légal. Un simple fichier Excel avec date, heure, description sommaire et actions entreprises suffit dans un premier temps.
Comment effectuer votre déclaration à l’OFCS efficacement
L’OFCS a développé un portail en ligne sécurisé dédié aux signalements. Vous devez créer un compte avec une authentification forte, généralement via SwissID. Désignez au moins deux personnes habilitées dans votre organisation pour éviter les blocages en cas d’absence. Le formulaire de déclaration reste volontairement simple pour ne pas ralentir les signalements urgents.
Les informations minimales requises incluent l’identification de votre organisation, la date et l’heure de détection de l’incident, une description factuelle de la nature de l’attaque et l’évaluation de l’impact sur vos services critiques. Vous n’avez pas besoin d’une analyse forensique complète au moment du signalement initial. L’OFCS privilégie la rapidité de transmission sur l’exhaustivité technique.
Le portail vous demande d’indiquer les services potentiellement affectés, le nombre approximatif d’utilisateurs ou de clients impactés et les mesures immédiates prises pour contenir l’incident. Si vous avez déjà identifié le vecteur d’attaque ou des indicateurs de compromission, ajoutez ces éléments. Dans le cas contraire, précisez simplement que l’investigation est en cours.
Après la déclaration initiale, l’OFCS peut vous demander des compléments d’information dans les jours suivants. Ces échanges permettent à l’office d’évaluer la menace globale et d’alerter d’autres infrastructures critiques si nécessaire. Votre collaboration contribue à la protection collective du pays face aux cybermenaces.
Les données que vous transmettez bénéficient d’une protection renforcée. L’OFCS ne peut pas les communiquer à des tiers sans votre accord, sauf obligation légale spécifique. Cette confidentialité vise à encourager les signalements sans crainte de préjudice réputationnel. Les médias ne sont pas informés automatiquement de votre déclaration.
Conseil pratique : Préparez un modèle de déclaration pré-rempli avec les informations générales de votre organisation. En situation de crise, vous gagnerez un temps précieux en n’ayant plus qu’à compléter les champs spécifiques à l’incident. Testez le processus complet au moins une fois par an lors d’un exercice de simulation.
Les sanctions en cas de manquement et comment les éviter
Le non-respect de l’obligation de signalement expose votre organisation à une amende administrative pouvant atteindre 100’000 CHF. Le montant varie selon la gravité du manquement, la récurrence des infractions et la taille de votre structure. Une omission isolée et de bonne foi sera traitée différemment d’un défaut systématique de déclaration révélant une négligence organisée.
Au-delà de l’aspect financier, les conséquences réputationnelles d’une sanction publique peuvent s’avérer plus dommageables. Vos clients, partenaires et autorités de tutelle questionnent votre capacité à gérer les risques cyber. Dans le secteur de la santé ou de la finance, cette mise en cause peut compromettre vos certifications et vos relations commerciales.
La responsabilité pénale des dirigeants peut aussi être engagée en cas de manquement grave et intentionnel. Si le non-signalement d’un incident majeur aggrave les conséquences pour d’autres infrastructures ou pour les citoyens, les autorités peuvent poursuivre les personnes physiques ayant pris la décision de ne pas déclarer.
Pour sécuriser votre conformité, désignez un responsable du signalement clairement identifié dans votre organigramme. Cette personne devient l’interlocuteur unique de l’OFCS et coordonne toutes les déclarations. Formez également plusieurs collaborateurs aux procédures de signalement pour assurer une continuité 24/7. Les cyberattaques ne respectent pas les horaires de bureau.
Intégrez l’obligation de signalement dans votre plan de gestion de crise cyber. Créez une checklist qui se déclenche automatiquement dès la détection d’un incident potentiellement grave. Cette automatisation réduit les risques d’oubli dans le stress d’une situation d’urgence. Documentez chaque signalement effectué et conservez ces preuves pendant au moins cinq ans.
Conseil pratique : Organisez un briefing trimestriel avec votre comité de direction sur les évolutions réglementaires en cybersécurité. Cette sensibilisation régulière ancre la culture du signalement au plus haut niveau de l’organisation. Les dirigeants doivent comprendre que la déclaration rapide protège l’entreprise plus qu’elle ne l’expose.
FAQ
Vos questions sur l’obligation de signalement OFCS
Notre PME fournit des services IT à un hôpital, sommes-nous concernés par l’obligation de signalement ?
Votre statut dépend de votre niveau de responsabilité dans la gestion des systèmes critiques de l’hôpital. Si vous gérez directement des infrastructures essentielles au fonctionnement médical, l’obligation peut s’appliquer indirectement via des clauses contractuelles. L’hôpital reste le déclarant principal, mais vous devez l’informer immédiatement de tout incident affectant les systèmes dont vous avez la charge. Clarifiez ces responsabilités dans vos contrats de prestation.
Que se passe-t-il si nous découvrons un incident deux semaines après qu’il s’est produit ?
Le délai de 24 heures court à partir du moment où vous prenez connaissance de l’incident, pas à partir de la date réelle de l’attaque. Vous devez néanmoins signaler l’incident dès sa découverte. Dans votre déclaration, précisez la date estimée de l’intrusion initiale et expliquez les raisons du délai de détection. Cette transparence démontre votre bonne foi et peut limiter les sanctions.
L’OFCS peut-il nous imposer des mesures correctives après un signalement ?
L’OFCS n’a pas de pouvoir d’injonction direct sur vos mesures de sécurité. Son rôle consiste à collecter les informations, analyser les menaces et diffuser des recommandations. En revanche, si votre incident révèle des failles graves et récurrentes, d’autres autorités de surveillance sectorielles (FINMA pour la finance, OFSP pour la santé) peuvent intervenir. L’OFCS peut partager certaines informations avec ces régulateurs dans le cadre de leurs missions respectives.
Devons-nous signaler une tentative d’attaque qui a échoué grâce à nos défenses ?
Cela dépend de la nature et de la sophistication de la tentative. Un simple scan automatisé ou une tentative de phishing générique bloquée par vos filtres ne nécessite pas de signalement. En revanche, une attaque ciblée et persistante démontrant une reconnaissance approfondie de votre infrastructure justifie une déclaration, même si elle a échoué. L’OFCS analyse ces tentatives pour identifier les campagnes coordonnées visant plusieurs infrastructures critiques simultanément.
