TL;DR : L’essentiel
- L’Office fédéral de la cybersécurité a testé en conditions réelles sa nouvelle appréciation de la cyberrésilience auprès de vingt-cinq communes et organisations du canton d’Argovie début 2026.
- Les résultats montrent que si les mesures techniques de protection de base existent, les communes manquent d’une préparation structurée pour restaurer rapidement leurs processus en cas d’attaque informatique majeure.
- Contrairement aux approches de sécurité informatique classiques, la méthode de cybersécurité et de résilienceaxée sur le pragmatisme se focalise sur les dépendances réelles des applications métiers critiques.
- Le rapport met en évidence de sérieuses lacunes dans la gestion des fournisseurs et des prestataires externes, qui échappent encore à une surveillance rigoureuse et contractuelle structurée.
Le passage d’une sécurité informatique statique à une résilience dynamique représente le plus grand défi moderne, non seulement pour les administrations mais aussi pour toutes les entreprises. L’analyse des résultats de l’enquête pilote menée en Argovie par l’Office fédéral de la cybersécurité (OFCS) démontre à quel point les schémas traditionnels de protection montrent leurs limites. Les administrations locales disposent généralement de barrières techniques de base, mais elles peinent à s’organiser pour garantir la continuité de leurs processus de travail les plus sensibles en cas de panne majeure.
Argovie : Le révélateur des faiblesses organisationnelles
L’appréciation de la cyberrésilience menée à grande échelle à travers le canton d’Argovie a mis en lumière des écarts importants entre la théorie et la pratique. Durant ce projet pilote, qui s’est déroulé de mi-février à fin mars 2026, quatorze communes et onze organisations de différents secteurs d’activité se sont autoévaluées de manière indépendante. L’évaluation s’est appuyée sur un catalogue de contrôle standardisé exigeant jusqu’à un jour complet de travail pour inventorier les aspects techniques et organisationnels.
Les conclusions publiées par l’autorité fédérale révèlent que de nombreuses structures se reposent sur une accumulation de mesures techniques isolées. Si les contrôles d’accès ou la sécurité des données sont globalement actifs, ils ne s’intègrent pas dans une vision stratégique globale. Les équipes peinent à identifier précisément quelles applications soutiennent chaque processus métier critique, ce qui empêche une gestion des priorités efficace lors d’un incident informatique d’envergure.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
La méthode MCSR : Une approche axée sur la criticité des processus
La recherche d’une véritable résilience passe par une transition méthodologique majeure, concrétisée par la méthode de cybersécurité et de résilience (MCSR). Contrairement aux normes traditionnelles de sécurité de l’information comme l’ISO 27001 ou le cadre NIST CSF, cette approche suisse part directement des processus métiers et de production importants. Elle renonce aux calculs de probabilités complexes pour se concentrer sur l’impact réel et acceptable d’une indisponibilité des systèmes.
Ce modèle structure l’infrastructure informatique en objets à protéger cohérents plutôt qu’en composants individuels isolés, simplifiant grandement la gestion opérationnelle. L’évaluation repose sur une logique binaire sans critères intermédiaires, ce qui force les organisations à prendre des décisions claires face à leurs failles de sécurité. Elle intègre également la convergence entre les réseaux de bureau et les technologies opérationnelles pour protéger les processus industriels physiques.
Analyse
L’Office fédéral de la cybersécurité (OFCS) a testé pour la première fois avec le canton d’Argovie un outil d’évaluation de la cyberrésilience, comme le rapporte le communiqué du 26 juin 2026. Les résultats obtenus montrent que si des mesures de protection informatiques de base existent déjà, beaucoup d’organisations manquent encore d’un concept de résilience global basé sur les processus.
Prestataires et planification : Les deux urgences opérationnelles
Les faiblesses les plus critiques identifiées lors de la phase pilote d’Argovie concernent la dépendance vis-à-vis des tiers. Les communes et les entreprises délèguent fréquemment l’exploitation de leurs systèmes à des prestataires externes sans fixer d’exigences de sécurité claires dans leurs contrats. L’évaluation montre un manque quasi systématique d’accords formaluels, de voies d’escalade définies ou de solutions d’urgence en cas de panne généralisée chez un sous-traitant.
Le second axe de travail immédiat concerne la capacité pratique de réaction face aux pannes. Les plans d’urgence et de restauration de l’activité sont rarement formalisés ou manquent d’exercices réguliers pour valider leur efficacité. Sans ces tests récurrents, notamment pour restaurer les sauvegardes de données en dehors de toute connexion réseau, les organisations restent vulnérables à un blocage prolongé en cas d’attaque par rançongiciel.
Pour garantir durablement la capacité opérationnelle de l’administration publique et de l’économie, les structures doivent s’approprier ce changement de paradigme axé sur la résilience des processus. Le projet en Argovie prouve qu’un autodiagnostic constitue la première étape essentielle avant de planifier des investissements techniques et organisationnels prioritaires.
Questions fréquentes sur l’évaluation de la cyberrésilience
Comment fonctionne l’outil d’évaluation de la cyberrésilience CyRA ?
L’évaluation de la cyberrésilience s’appuie sur deux catalogues de contrôle standardisés permettant aux organisations de s’autoévaluer de façon binaire sur six objectifs centraux. Contrairement aux approches traditionnelles axées sur les serveurs, cet outil lie directement chaque élément technique aux processus métiers et de production de l’entité.
Quels sont les principaux enseignements du projet pilote mené en Argovie ?
Le projet pilote a révélé que les organisations maîtrisent les mesures de sécurité informatique élémentaires mais peinent à planifier la continuité de leur activité. Les failles majeures résident dans l’absence de plans d’urgence éprouvés et dans le manque de contrôle contractuel sur la sécurité des sous-traitants externes.
Pourquoi la méthode MCSR refuse-t-elle les analyses de risques probabilistes ?
La méthode de cybersécurité et de résilience rejette l’évaluation quantitative des probabilités car ces calculs s’avèrent imprécis et difficiles à appliquer en pratique pour la sécurité informatique. À la place, elle privilégie une évaluation qualitative et technologique basée sur l’impact acceptable des menaces sur les processus critiques.
Comment la méthode MCSR intègre-t-elle la sécurité des installations physiques ?
La méthode prend en compte la sûreté et la protection physique contre les événements naturels ou l’usure au sein des exigences fondamentales de protection. Elle analyse si une panne informatique peut compromettre le monde réel, ce qui permet de sécuriser conjointement les systèmes d’information et les technologies opérationnelles.
Pour approfondir le sujet
Méthode MCSR : un cadre de l’OFCS pour maîtriser le risque cyber
Un cadre opérationnel se déploie pour aider les organisations à renforcer efficacement leur résilience face à l’intensification des risques numériques. Lire la suite
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
