La Confédération introduit dès 2026 des dispositions uniformes de cybersécurité pour les marchés publics, adaptées au niveau de risque de chaque contrat.
En bref
- Les exigences de sécurité devront être définies dès la phase de définition du besoin et intégrées dans les appels d’offres.
- Les dispositions standard s’appliqueront à tous les achats non soumis à des exigences particulières de sécurité.
- Chaque contrat devra être adapté à son niveau de risque et à la sensibilité des informations échangées.
- Les nouvelles mesures, présentées par le SEPOS, entreront en vigueur le 1er janvier 2026.
La sécurité de l’information dans les marchés publics ne se limite plus à la conclusion du contrat. Elle commence désormais au moment où les besoins sont définis. Selon le rapport fédéral sur la surveillance des fournisseurs publié en mai 2025, cette approche vise à prévenir les risques avant qu’ils ne s’ancrent dans le cycle d’achat. L’unité requérante doit dès l’origine du projet déterminer les exigences de sécurité pertinentes, tandis que l’entité adjudicatrice veille à leur intégration dans les documents d’appel d’offres. Les fournisseurs sont ainsi informés dès le dépôt de leur offre des conditions à respecter.
Un cadre proportionné et fondé sur les risques
Les nouvelles dispositions standard définissent une norme minimale de sécurité pour les acquisitions fédérales. Elles ne concernent pas les contrats relevant de domaines hautement sensibles, pour lesquels des exigences spécifiques continueront de s’appliquer. Le principe central est celui de la proportionnalité : les exigences imposées doivent correspondre à la sensibilité du contrat et à la nature des prestations attendues.
Cette approche vise à concilier rigueur et pragmatisme. Trop de contraintes peuvent exclure certains fournisseurs ou ralentir les procédures. Trop peu, et la chaîne d’approvisionnement devient vulnérable. Les dispositions distinguent ainsi différents types de contrats, tels que les prestations d’ingénieurs, de services informatiques ou encore les livraisons matérielles. À chaque catégorie correspond un niveau de sécurité adapté.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Les recommandations incluent également un guide détaillé, accompagné de commentaires, pour aider les services fédéraux à sélectionner la disposition appropriée selon le type de contrat et le niveau de risque identifié. Ce document fournit une classification claire, permettant d’appliquer des mesures proportionnées et cohérentes à l’échelle de l’administration.
Vers une culture de sécurité intégrée dans les achats publics
L’introduction de ce cadre contractuel marque une nouvelle étape vers une culture de sécurité intégrée dans les pratiques d’acquisition. La Confédération reconnaît qu’une politique de sécurité efficace ne peut se limiter à la gestion interne : elle doit s’étendre à l’ensemble de l’écosystème de ses fournisseurs.
Les enseignements tirés de précédents incidents, comme celui de la cyberattaque contre Xplain, ont mis en lumière la nécessité de règles explicites et uniformes. Le nouveau dispositif permet d’encadrer plus fermement les responsabilités tout en offrant une base commune à tous les services fédéraux.
Les dispositions, élaborées en collaboration avec les services d’achat et les offices de différents départements, visent une mise en œuvre cohérente et économique. À terme, cette approche devrait contribuer à réduire les coûts liés à la remédiation d’incidents et à améliorer la résilience globale de la chaîne d’approvisionnement publique.
La mise en application du cadre dès 2026 représente une évolution structurante pour la sécurité des acquisitions fédérales. Elle traduit la volonté d’intégrer la cybersécurité dans chaque étape du processus d’achat, du besoin initial à la livraison finale.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
