La Suisse s’est dotée d’une nouvelle législation sur la sécurité de l’information en vigueur depuis le 1er janvier 2024. L’occasion de faire le tour rapidement des éléments essentiels à connaître.
La Loi fédérale sur la sécurité de l’information (LSI) a pour objectif d’établir un cadre légal pour assurer la sécurisation des traitements de l’information, informatisés ou non. La LSI servira également de base juridique pour l’activité du Centre national pour la cybersécurité (NCSC).
La principale nouveauté à noter est l’obligation de signaler les cyberattaques ciblant les infrastructures critiques. A noter qu’initialement, le Conseil national souhaitait étendre cette obligation d’annonce pour y inclure les « vulnérabilités informatiques » identifiées par les entreprises. Cependant, le monde des affaires et les exploitants d’infrastructures critiques s’y sont opposés avec succès. Elle ne fait donc pas partie de la LSI.
En résumé, cette loi s’inscrit dans la logique d’améliorer la résilience globale des entreprises et des institutions suisses dans ce contexte d’explosion du nombre de cyberattaques. La loi se focalise en particulier sur les infrastructures dites « critiques » et qui pourrait entraîner des dommages importants pour l’économie et la société.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
La loi sur la sécurité de l’information (LSI) et ses quatre ordonnances d’exécution entreront en vigueur le 1er janvier 2024. Le Conseil fédéral en a décidé ainsi lors de sa séance du 8 novembre 2023.
L’obligation d’annoncer les cyberattaques n’entrera pas en vigueur le 1er janvier 2024. C’est une modification plus récente qui ne sera applicable que plus tard, vraisemblablement le 1er janvier 2025 (précision de Sylvain Métille).
La LSI réunit en un seul endroit les bases légales les plus importantes pour la sécurité des informations et des moyens informatiques de la Confédération. Se basant sur des normes internationales, la loi et ses quatre ordonnances d’exécution fixeront des exigences minimales dans ce domaine pour l’ensemble des autorités et des organisations de la Confédération.
Nul n’est censé ignoré la loi et voici donc les éléments essentiels à retenir:
| Quel est le but de la loi? | La loi vise: – à garantir la sécurité du traitement des informations relevant de la compétence de la Confédération et la sécurité de ses moyens informatiques; – à accroître la capacité de résilience de la Suisse face aux cybermenaces. |
| Qui est concerné? | Les organisations de droit public ou de droit privé qui exploitent des infrastructures critiques. A noter que cette loi s’applique aux états de fait qui déploient des effets en Suisse, même s’ils se sont produits à l’étranger. |
| Qu’est-ce qu’une infrastructure critique? | Les infrastructures critiques sont associées à l’approvisionnement en eau potable et en énergie, les infrastructures d’information, de communication et de transports ainsi que d’autres installations, processus et systèmes essentiels au fonctionnement de l’économie et au bien-être de la population. |
| Quelles sont les principales nouveautés | Afin de protéger la Suisse contre les cybermenaces, le NCSC réalise des analyses techniques pour évaluer et contrer les cyberincidents et les cybermenaces, ainsi que pour identifier et éliminer les vulnérabilités. Le NCSC reçoit des signalements concernant des cyberincidents et des cybermenaces. Les signalements peuvent être anonymes. Une cyberattaque doit être signalée lorsqu’elle: a. met en péril le fonctionnement de l’infrastructure critique concernée; b. a entraîné une manipulation ou une fuite d’informations; c. n’a pas été détectée pendant une période prolongée, en particulier si des indices laissent penser qu’elle a été exécutée en vue de préparer d’autres cyberattaques, ou d. s’accompagne d’actes de chantage, de menaces ou de contrainte. Le NCSC peut transmettre des informations provenant de signalements aux autorités et aux organisations actives dans le domaine de la cybersécurité. Le NCSC aide les exploitants d’infrastructures critiques à se protéger contre les cybermenaces. |
Les liens utiles
Loi sur la sécurité de l’information LSI
La présente loi vise à garantir la sécurité du traitement des informations relevant de la compétence de la Confédération et la sécurité de ses moyens informatiques.
Les informations importantes sur la nouvelle loi
Le Conseil fédéral fixe l’entrée en vigueur de la loi sur la sécurité de l’information
Berne, 08.11.2023 – La loi sur la sécurité de l’information (LSI) et ses quatre ordonnances d’exécution entreront en vigueur le 1er janvier 2024. Le Conseil fédéral en a décidé ainsi lors de sa séance du 8 novembre 2023. Il entend ainsi renforcer la protection des informations et la cybersécurité au sein de la Confédération.
Pour en savoir plus
Loi sur la sécurité de l’information: le Parlement fait preuve de modération
Au vu de la forte croissance des cyberattaques ciblant des entreprises et des institutions suisses, nous devons investir dans des mesures de protection adaptées. Cela s’avère d’autant plus nécessaire pour les infrastructures dites «critiques», dont la défaillance entraînerait des dommages importants pour l’économie et la société. economiesuisse salue les adaptations décidées par le Conseil national dans la loi sur la sécurité de l’information.
Publications: Loi fédérale sur la sécurité de l’information, version 2.0 – Sylvain Métille
J’ai le plaisir d’avoir co-écrit avec Pauline Meyer «Loi fédérale sur la sécurité de l’information: version 2.0», un article qui est paru dans la Jusletter du
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
