💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories
Portrait d’un homme en costume regardant un écran transparent rempli de graphiques, de données et de codes informatiques, illustrant l’analyse des données et les enjeux de cybersécurité.

Marchés publics : la Confédération impose des exigences minimales de cybersécurité

La Confédération introduit dès 2026 des dispositions uniformes de cybersécurité pour les marchés publics, adaptées au niveau de risque de chaque contrat.

En bref

  • Les exigences de sécurité devront être définies dès la phase de définition du besoin et intégrées dans les appels d’offres.
  • Les dispositions standard s’appliqueront à tous les achats non soumis à des exigences particulières de sécurité.
  • Chaque contrat devra être adapté à son niveau de risque et à la sensibilité des informations échangées.
  • Les nouvelles mesures, présentées par le SEPOS, entreront en vigueur le 1er janvier 2026.

La sécurité de l’information dans les marchés publics ne se limite plus à la conclusion du contrat. Elle commence désormais au moment où les besoins sont définis. Selon le rapport fédéral sur la surveillance des fournisseurs publié en mai 2025, cette approche vise à prévenir les risques avant qu’ils ne s’ancrent dans le cycle d’achat. L’unité requérante doit dès l’origine du projet déterminer les exigences de sécurité pertinentes, tandis que l’entité adjudicatrice veille à leur intégration dans les documents d’appel d’offres. Les fournisseurs sont ainsi informés dès le dépôt de leur offre des conditions à respecter.

Un cadre proportionné et fondé sur les risques

Les nouvelles dispositions standard définissent une norme minimale de sécurité pour les acquisitions fédérales. Elles ne concernent pas les contrats relevant de domaines hautement sensibles, pour lesquels des exigences spécifiques continueront de s’appliquer. Le principe central est celui de la proportionnalité : les exigences imposées doivent correspondre à la sensibilité du contrat et à la nature des prestations attendues.

Cette approche vise à concilier rigueur et pragmatisme. Trop de contraintes peuvent exclure certains fournisseurs ou ralentir les procédures. Trop peu, et la chaîne d’approvisionnement devient vulnérable. Les dispositions distinguent ainsi différents types de contrats, tels que les prestations d’ingénieurs, de services informatiques ou encore les livraisons matérielles. À chaque catégorie correspond un niveau de sécurité adapté.

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD

Les recommandations incluent également un guide détaillé, accompagné de commentaires, pour aider les services fédéraux à sélectionner la disposition appropriée selon le type de contrat et le niveau de risque identifié. Ce document fournit une classification claire, permettant d’appliquer des mesures proportionnées et cohérentes à l’échelle de l’administration.

Vers une culture de sécurité intégrée dans les achats publics

L’introduction de ce cadre contractuel marque une nouvelle étape vers une culture de sécurité intégrée dans les pratiques d’acquisition. La Confédération reconnaît qu’une politique de sécurité efficace ne peut se limiter à la gestion interne : elle doit s’étendre à l’ensemble de l’écosystème de ses fournisseurs.

Les enseignements tirés de précédents incidents, comme celui de la cyberattaque contre Xplain, ont mis en lumière la nécessité de règles explicites et uniformes. Le nouveau dispositif permet d’encadrer plus fermement les responsabilités tout en offrant une base commune à tous les services fédéraux.

Les dispositions, élaborées en collaboration avec les services d’achat et les offices de différents départements, visent une mise en œuvre cohérente et économique. À terme, cette approche devrait contribuer à réduire les coûts liés à la remédiation d’incidents et à améliorer la résilience globale de la chaîne d’approvisionnement publique.

La mise en application du cadre dès 2026 représente une évolution structurante pour la sécurité des acquisitions fédérales. Elle traduit la volonté d’intégrer la cybersécurité dans chaque étape du processus d’achat, du besoin initial à la livraison finale.


💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

📘 Voir sur Amazon
Page frontale du livre Guide pratique pour disséquer les logiciels malveillants

Guide pratique pour disséquer les logiciels malveillants

🤔Lorsqu'un logiciel malveillant brise vos défenses, vous devez agir rapidement pour traiter les infections actuelles et prévenir les futures.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

🤔 Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏