La nouvelle obligation de signaler les cyberattaques s’applique à tous les fournisseurs de services de télécommunication (FST) qui utilisent des ressources d’adressage nationales ou des fréquences radio avec concession et qui sont enregistrés auprès de l’OFCOM. Tous les membres de Suissedigital proposant des services de téléphonie mobile ou fixe ainsi que des services de cloud computing et des centres de calcul sont donc concernés par la nouvelle obligation de signaler.
Dans les cas de cyberattaque suivants, une déclaration à l’Office fédéral de la cybersécurité OFCS est obligatoire :
- Le fonctionnement de l’infrastructure critique concernée est menacé (des membres du personnel ou des tiers sont touchés par des interruptions du système et/ou des mesures techniques ou organisationnelles – plans d’urgence – doivent être activées pour maintenir les activités) ou
- Des informations importantes pour l’entreprise ont été compromises ou en cas de violation de la sécurité des données (entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées nécessitant un signalement conformément à la loi sur la protection des données, art. 24 LPD) ou
- La cyberattaque n’a pas été détectée pendant plus de 90 jours (et des signes indiquent qu’elle a été menée en vue de préparer d’autres cyberattaques) ou
- La cyberattaque est liée à un chantage, à des menaces ou à une contrainte contre l’entreprise ou contre des membres du personnel de l’entreprise ou des personnes travaillant pour l’entreprise.
La cyberattaque doit être signalée dans les 24 heures suivant sa détection, soit à l'aide du formulaire de notification par le système de communication disponible sur le Cyber Security Hub de l’OFCS (ce qui nécessite un enregistrement préalable et est recommandé), soit via le bouton « Annoncez » (avec e-mail) situé sur la page d’accueil de l’OFCS. Toutes les informations pertinentes doivent alors être fournies sous deux semaines.
Une réglementation transitoire prévoit de ne pas sanctionner les signalements non effectués jusqu’au 1er octobre 2025, après quoi le non-respect de l’obligation de signaler est passible d’une amende pouvant aller jusqu’à CHF 100 000.
Important à savoir :
- L’obligation de signaler sert uniquement à permettre à l’OFCS d’identifier à temps des modèles d’attaques contre des infrastructures critiques et de pouvoir ainsi avertir les personnes éventuellement concernées et leur recommander des mesures de prévention et de défense appropriées.
- L’OFCS peut conseiller et assister les exploitants d’infrastructures critiques dans la gestion des cyberincidents lorsqu’il n’est pas possible de se procurer en temps utile une assistance équivalente sur le marché.
- Des bases légales ainsi qu’une exception à la loi sur la transparence sont prévues pour l’échange et la protection des informations (y compris les données personnelles et les ressources d’adressage).
- Dans le cadre du signalement, il n’est pas nécessaire de fournir des informations susceptibles d’engager la responsabilité pénale de la personne à l’origine du signalement.
- Des informations sur les cybermenaces et les cyberincidents ainsi que les vulnérabilités découvertes peuvent également être communiquées volontairement à l’OFCS.
Si vous avez des questions et avez besoin d’aide, n’hésitez pas à vous adresser à Stefan Flück, responsable du service juridique (stefan.flueck[at]suissedigital.ch, tél. 031 328 27 28).
Une cyberattaque est un cyberincident provoqué intentionnellement, un événement survenant lors de l’utilisation de moyens informatiques et ayant pour conséquence une atteinte à la confidentialité, à la disponibilité ou à l’intégrité d’informations ou à la traçabilité de leur traitement (cf. art. 5, let. d et e, de la loi sur la sécurité de l’information LSI).