Back

La Suisse entre dans une nouvelle ère de déclaration des cyberattaques

  • Date octobre 1, 2025

Le 1er octobre 2025 marque une étape importante pour le paysage suisse de la cybersécurité. Dès aujourd’hui, l’obligation de déclarer les cyberattaques visant les infrastructures critiques — introduite en avril — entre pleinement en vigueur, avec des amendes pouvant aller jusqu’à 100 000 CHF en cas de non-respect.

Cette réglementation, appliquée par le Centre national pour la cybersécurité (NCSC), impose aux opérateurs d’infrastructures critiques de signaler tout incident majeur dans un délai de 24 heures. Après six mois de mise en œuvre, le NCSC a déjà enregistré 164 incidents, touchant divers secteurs : finance, technologies de l’information, énergie, santé, télécommunications et administrations publiques. Les attaques par déni de service (DoS) représentent 18 % des cas, suivies par des intrusions, rançongiciels et vols d’identifiants.

 

Pourquoi cette mesure est essentielle pour la Suisse

L’introduction de cette obligation constitue une avancée majeure pour renforcer la position de la Suisse en tant que pôle numérique de confiance. L’objectif est de :

  • Améliorer la connaissance nationale de la menace

  • Permettre des alertes précoces entre secteurs

  • Consolider la résilience et la capacité de réponse

La cybersécurité est devenue une question de sécurité nationale, et les pays qui institutionnalisent la déclaration des incidents acquièrent un avantage crucial pour réduire les risques.

 

Comparaison internationale

Si la Suisse adopte ce mécanisme en 2025, d’autres pays l’ont déjà introduit :

  • Union européenne : La directive NIS2 (2022) impose à un large éventail d’entités essentielles et importantes de signaler les incidents majeurs dans les 24 heures. Les États membres doivent la transposer dans leur droit national d’ici octobre 2024.

  • États-Unis : La loi Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA, 2022) oblige les opérateurs d’infrastructures critiques à signaler les incidents majeurs à la CISA dans un délai de 72 heures, et tout paiement de rançon dans les 24 heures.

  • Autres pays : L’Australie, Singapour et le Japon disposent également de dispositifs similaires, ce qui illustre une tendance mondiale vers une gouvernance proactive du cyberespace.

La Suisse ne fut pas parmi les premiers, mais avec cette étape, elle rejoint la dynamique internationale et s’aligne sur les meilleures pratiques.

 

Les enjeux à venir

L’obligation de déclaration n’est qu’un début. La véritable valeur résidera dans l’usage des données collectées :

  • Partager des analyses anonymisées avec les acteurs pour renforcer la résilience

  • Favoriser la collaboration public–privé pour une réponse coordonnée

  • Développer une culture de responsabilité numérique allant au-delà de la simple conformité

Pour les organisations suisses, il s’agit non seulement d’éviter des sanctions, mais aussi de contribuer au renforcement de l’écosystème collectif de cybersécurité qui soutient l’économie numérique du pays.

 

Conclusion

Avec l’entrée en vigueur effective le 1er octobre 2025, la Suisse ouvre un nouveau chapitre en matière de résilience numérique. L’obligation de déclarer les cyberattaques ne supprimera pas les menaces, mais elle instaure un cadre pour détecter, partager et réagir plus efficacement.

Le défi consistera désormais à s’assurer que ce processus ne se limite pas à une formalité administrative, mais devienne un moteur de confiance, d’intelligence collective et de résilience pour l’ensemble des secteurs critiques.

 

Sources

  • Centre national pour la cybersécurité (NCSC). Six-month reporting obligation for cyberattacks on critical infrastructures – Communiqué de presse, 29 septembre 2025. Département fédéral des finances (DFF). https://www.efd.admin.ch/en/newnsb/gezctyF6KYR7UkCjXBC5s

  • Union européenne. Directive (UE) 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’Union (directive NIS2), 14 décembre 2022. EUR-Lex. https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng

  • Congrès des États-Unis. Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). Loi publique n°117-103. https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia

  • Gouvernement australien. Security of Critical Infrastructure Act 2018 (tel que modifié). https://www.cisc.gov.au/legislation-regulation-and-compliance/soci-act-2018

Kamal SEDRA

You may also like

African Digital Leadership Innovation Network
Résumé du Webinaire « Débloquer la résilience et les perspectives de durabilité en cybersécurité pour l’Afrique »
octobre 26, 2023
revFADP
Le Nouveau Paysage Suisse de la Confidentialité des Données : Comprendre le revFADP et son Importance
septembre 6, 2023
Artificial Intelligence security
L’IA et la cybersécurité : Comment l’intelligence artificielle révolutionne le domaine et ses implications.
avril 25, 2023
×
Cookies
We value your browsing experience. By clicking 'Accept all,' you consent to the use of cookies that enhance your browsing experience. If you prefer, you can customize your cookie preferences by clicking 'Settings.' Read our cookie policy
Settings Refuse all Accept all
Cookies
Select your cookie preferences to personalize your browsing experience. Your selection will be saved for one year. Read our cookie policy
Save Refuse all Accept all