Sécurité de l’information : bilan 2024 de l’administration suisse

La Suisse consolide sa sécurité de l’information en 2024 grâce à la LSI, malgré des défis persistants sur les fournisseurs et les systèmes critiques.

L’année 2024 marque un tournant pour la sécurité de l’information de la Confédération. Sous la pression d’un contexte géopolitique tendu et d’attaques répétées, l’administration a dû conjuguer réactivité et adaptation. Le rapport annuel met en lumière une situation contrastée : aucun incident grave n’a paralysé l’administration fédérale, mais plusieurs vulnérabilités structurelles persistent.

Des cyberattaques fréquentes mais contenues

Le rapport rappelle que la Suisse reste une cible régulière de cyberattaques, notamment lors d’événements internationaux sensibles. En janvier, la visite du président Zelensky au WEF de Davos, puis la Conférence sur la paix en Ukraine au Bürgenstock en juin, ont été accompagnées d’intenses offensives DDoS du groupe prorusse NoName057. Selon le Secrétariat d’État à la politique de sécurité, ces attaques ont temporairement ralenti l’accès à des sites et services fédéraux, sans compromettre les données sensibles. Cette résilience a été possible grâce à une coordination étroite entre l’Office fédéral de la cybersécurité, les cantons et les infrastructures critiques, avec des contre-mesures déclenchées rapidement.

Outre les DDoS, l’administration a dû affronter de multiples vagues d’hameçonnage visant notamment les services internes liés à M365. Ces campagnes de courriels piégés ont exploité des pièces jointes chiffrées ou des faux formulaires d’accès, mais elles ont surtout permis de renforcer les processus internes et de sensibiliser durablement les équipes. La mise en œuvre d’outils de détection et la formation périodique du personnel ont limité les impacts directs.

Enfin, certains prestataires externes de l’administration ont eux-mêmes subi des attaques, comme en août 2024 la société fenceIT SA, touchée via son hébergeur cloud. Ces événements rappellent l’importance cruciale de sécuriser toute la chaîne de sous-traitance.

La LSI et la création du service spécialisé : un nouveau cadre

L’entrée en vigueur de la loi sur la sécurité de l’information (LSI) le 1er janvier 2024 constitue un jalon majeur. Pour la première fois, un cadre unique et contraignant s’impose à l’ensemble des autorités fédérales, du Parlement aux tribunaux en passant par les départements. La LSI fixe des exigences minimales en matière de classification des données, de gestion des risques, d’identités et d’accès, mais aussi de contrôle des fournisseurs et du personnel.

Pour piloter cette transformation, un nouveau service spécialisé de la Confédération pour la sécurité de l’information a été créé au sein du SEPOS. Dirigé par Anne Rivera depuis avril 2024, il joue un rôle de coordination, de surveillance et de prescription. Sa mission couvre aussi bien les audits internes que la coopération internationale en matière de protection des informations classifiées.

La mise en place de ce service reste toutefois incomplète : plusieurs postes n’ont été validés qu’en 2025, et des retards subsistent sur la classification des systèmes et la mise en œuvre des systèmes de management de la sécurité de l’information (SMSI). Fin 2024, seules cinq unités disposaient déjà d’un SMSI certifié, quand d’autres débutaient encore leur démarche. L’échéance de 2026 pour une couverture complète demeure donc un défi.

Des progrès notables mais des vulnérabilités persistantes

Le rapport souligne des avancées concrètes. L’administration fédérale a réalisé 104 contrôles auprès d’entreprises titulaires de mandats sensibles, avec au moins une révocation de certification pour non-respect des obligations. Des programmes de type Bug Bounty ont permis de détecter et corriger plusieurs vulnérabilités, tandis que des tests d’intrusion internes ont renforcé la prévention.

En parallèle, la Confédération a mis en œuvre les mesures adoptées après l’affaire Xplain. Ces dispositions incluent l’inventaire des objets critiques à protéger, l’intégration accrue des responsables sécurité dans les appels d’offres, et l’amélioration des clauses contractuelles avec les fournisseurs. La majorité des départements ont rempli ces obligations en 2024, même si certaines unités accusaient encore du retard en fin d’année.

Cependant, le rapport pointe des zones de fragilité. Par exemple, plusieurs systèmes utilisent encore des protocoles TLS 1.0 et 1.1 obsolètes, en partie pour des raisons de compatibilité logicielle. Des anciennes versions de Windows subsistent également dans certains environnements. Ces retards dans la modernisation accroissent le risque d’exposition à des vulnérabilités connues.

La formation reste un autre enjeu. Si la plupart des collaborateurs fédéraux suivent régulièrement des modules en ligne et des ateliers, les prestataires externes bénéficient d’un encadrement inégal. Le rapport recommande explicitement de renforcer la sensibilisation de ces acteurs, qui jouent un rôle clé dans la chaîne de sécurité.

Conclusion

Le bilan 2024 de la sécurité de l’information de la Confédération dresse un tableau contrasté. D’un côté, les institutions fédérales ont démontré leur capacité à détecter et contrer des attaques dans un contexte international tendu. De l’autre, des retards dans la modernisation des systèmes, l’harmonisation des SMSI et la formation des partenaires montrent que la route vers une cybersécurité fédérale pleinement robuste est encore longue.

La mise en œuvre de la LSI et l’action du nouveau service spécialisé créent une dynamique positive, mais nécessitent des moyens humains et techniques supplémentaires. Le renforcement de la chaîne de fournisseurs et la poursuite des audits seront déterminants pour maintenir la résilience de l’administration fédérale face aux menaces croissantes.