Le Conseil fédéral a lancé une consultation sur un projet d’ordonnance pour réglementer la cybersécurité, incluant l’obligation de signaler les cyberattaques et définissant l’organisation de la Cyberstratégie nationale.
Lors de sa séance du 22 mai 2024, le Conseil fédéral a ouvert la procédure de consultation concernant le projet d’ordonnance sur la cybersécurité. Cette ordonnance concerne l’obligation de signaler les cyberattaques mais pas seulement. Elle règle également l’organisation permettant la mise en œuvre de la Cyberstratégie nationale et définit les tâches de l’Office fédéral de la cybersécurité. La consultation prendra fin le 13 septembre prochain.
Via cette ordonnance sur la cybersécurité (OCyS), le Conseil fédéral entend concrétiser l’obligation de signaler les cyberincidents et désigne les organes qui en sont exemptés. L’OCyS fixe le champ d’application de l’obligation pour les autorités et les organisations, définit les cyberattaques à signaler et précise les contenus devant être signalés. Elle indique aussi les procédures permettant de remplir ladite obligation et fixe les délais et la conclusion des signalements. De plus, cette ordonnance détaille les mesures de sécurité supplémentaires que les organisations doivent mettre en place pour se protéger contre les cybermenaces potentielles.
Une obligation d’annonce sous 24 heures
Dans son projet d’ordonnance, l’OFCS désigne une cyberattaques à signaler si
- Le fonctionnement d’une infrastructure critique est mis en péril lorsque:
- des collaborateurs ou des tiers sont touchés par des interruptions de système, ou
- l’organisation ou l’autorité touchée ne peut maintenir ses activités qu’à l’aide de plans d’urgence.
- Une manipulation ou une fuite d’informations est avérée lorsque
- des informations importantes pour les affaires sont modifiées ou publiées par des personnes non autorisées;
- la violation de la sécurité de données est signalée conformément à l’art. 24 de la loi fédérale du 25 septembre 2020 sur la protection des données.
A noter qu’une cyberattaque est considérée comme étant indétectée pendant une période prolongée si elle s’est produite plus de 90 jours auparavant. L’OCyS indique que, si toutes les informations nécessaires ne sont pas communiquées dans les 24 heures, l’OFCS accorde à l’autorité ou à l’organisation concernée un délai de 14 jours pour compléter le signalement.
Plusieurs exceptions sont également listées. Souvent liées à d’autres obligations d’annonce, il est à relever en particulier l’exception qui concerne des organes visés à l’art. 74b, al. 1, let. b et c, LSI qui sont responsables de moins de 1000 habitants et qui couvre :
- let. b. aux autorités fédérales, cantonales et communales ainsi qu’aux organisations intercantonales, cantonales et intercommunales, à l’exception du Groupement Défense lorsque l’armée accomplit un service d’appui ou un service actif au sens des art. 67 et 76 de la loi du 3 février 1995 sur l’armée12;
- let. c. aux organisations chargées de tâches de droit public dans les domaines de la sécurité et du sauvetage, de l’approvisionnement en eau potable, du traitement des eaux usées et de l’élimination des déchets;
Pour en savoir plus

Et le projet d’ordonnance ici:
Et un article et relations à cette actualité:
Le Conseil fédéral définit de nombreuses exceptions à l’obligation de signaler les cyberincidents
Le règlement sur la cybersécurité réglemente, entre autres, la manière dont l’obligation de signaler les cyberattaques sur les infrastructures critiques est mise en œuvre. En outre, un nouveau comité de sécurité sera créé.

(Re)découvrez également:
La future nouvelle loi suisse sur la sécurité de l’information #LSI : ce qu’il faut absolument savoir
La Suisse se dotera d’une nouvelle législation sur la sécurité de l’information qui entrera en vigueur le 1er janvier 2024. L’occasion de faire le tour rapidement des éléments essentiels à connaître.
