Le Conseil fédéral a lancé une consultation sur un projet d’ordonnance pour réglementer la cybersécurité, incluant l’obligation de signaler les cyberattaques et définissant l’organisation de la Cyberstratégie nationale.
Lors de sa séance du 22 mai 2024, le Conseil fédéral a ouvert la procédure de consultation concernant le projet d’ordonnance sur la cybersécurité. Cette ordonnance concerne l’obligation de signaler les cyberattaques mais pas seulement. Elle règle également l’organisation permettant la mise en œuvre de la Cyberstratégie nationale et définit les tâches de l’Office fédéral de la cybersécurité. La consultation prendra fin le 13 septembre prochain.
Via cette ordonnance sur la cybersécurité (OCyS), le Conseil fédéral entend concrétiser l’obligation de signaler les cyberincidents et désigne les organes qui en sont exemptés. L’OCyS fixe le champ d’application de l’obligation pour les autorités et les organisations, définit les cyberattaques à signaler et précise les contenus devant être signalés. Elle indique aussi les procédures permettant de remplir ladite obligation et fixe les délais et la conclusion des signalements. De plus, cette ordonnance détaille les mesures de sécurité supplémentaires que les organisations doivent mettre en place pour se protéger contre les cybermenaces potentielles.
Une obligation d’annonce sous 24 heures
Dans son projet d’ordonnance, l’OFCS désigne une cyberattaques à signaler si
- Le fonctionnement d’une infrastructure critique est mis en péril lorsque:
- des collaborateurs ou des tiers sont touchés par des interruptions de système, ou
- l’organisation ou l’autorité touchée ne peut maintenir ses activités qu’à l’aide de plans d’urgence.
- Une manipulation ou une fuite d’informations est avérée lorsque
- des informations importantes pour les affaires sont modifiées ou publiées par des personnes non autorisées;
- la violation de la sécurité de données est signalée conformément à l’art. 24 de la loi fédérale du 25 septembre 2020 sur la protection des données.
A noter qu’une cyberattaque est considérée comme étant indétectée pendant une période prolongée si elle s’est produite plus de 90 jours auparavant. L’OCyS indique que, si toutes les informations nécessaires ne sont pas communiquées dans les 24 heures, l’OFCS accorde à l’autorité ou à l’organisation concernée un délai de 14 jours pour compléter le signalement.
Plusieurs exceptions sont également listées. Souvent liées à d’autres obligations d’annonce, il est à relever en particulier l’exception qui concerne des organes visés à l’art. 74b, al. 1, let. b et c, LSI qui sont responsables de moins de 1000 habitants et qui couvre :
- let. b. aux autorités fédérales, cantonales et communales ainsi qu’aux organisations intercantonales, cantonales et intercommunales, à l’exception du Groupement Défense lorsque l’armée accomplit un service d’appui ou un service actif au sens des art. 67 et 76 de la loi du 3 février 1995 sur l’armée12;
- let. c. aux organisations chargées de tâches de droit public dans les domaines de la sécurité et du sauvetage, de l’approvisionnement en eau potable, du traitement des eaux usées et de l’élimination des déchets;
Pour en savoir plus
Et le projet d’ordonnance ici:
Et un article et relations à cette actualité: