Une nouvelle obligation en Suisse depuis avril 2025
À partir du 1er avril 2025, la Suisse instaure une mesure décisive en matière de cybersécurité : les exploitants d’infrastructures critiques tels que les fournisseurs d’énergie, les réseaux de transport, les collectivités publiques ou encore les systèmes de santé doivent signaler toute cyberattaque à l’Office fédéral de la cybersécurité (OFCS) dans un délai de 24 heures suivant leur détection.
Contexte et fondements légaux
Cette obligation résulte d’une révision de la Loi sur la sécurité de l’information (LSI) adoptée fin 2023, et se trouve précisée par la nouvelle Ordonnance sur la cybersécurité (OCyS) promulguée début 2025. Elle vise à coordonner la réponse nationale face aux cybermenaces en facilitant la réaction rapide de l’État et en limitant la propagation potentielle d’attaques vers d’autres infrastructures sensibles.
Mécanisme de signalement & période de transition
Les exploitants peuvent transmettre le signalement via un formulaire dédié sur la plateforme du Cyber Security Hub de l’OFCS, ou, pour ceux n’ayant pas accès, par email avec un modèle officiel.
Si certaines informations ne sont pas disponibles dans les premières 24 heures, elles peuvent être complétées ultérieurement jusqu’à 14 jours après la déclaration initiale.
Pour faciliter la transition, aucune sanction ne sera appliquée durant les six premiers mois. Passé le 1er octobre 2025, des amendes pourront être imposées aux entités en défaut de déclaration. Des montants allant jusqu’à 100 000 CHF sont évoqués pour les infractions graves.
Qui est concerné et quelles exceptions ?
Sont concernées : les infrastructures critiques couvrant la santé, l’énergie, l’eau potable, les transports, la finance, l’alimentation, les télécommunications, la sécurité publique et l’élimination des déchets. Certaines entités telles que les petites structures — moins de 50 employés et CA ou bilan inférieur à 10 millions CHF — bénéficient d’exemptions. D’autres acteurs, comme les prestataires IT, les centres de données ou les fournisseurs cloud, ne sont concernés que s’ils offrent leurs services à des tiers contre rémunération.
Enjeux et perspectives
Cette obligation représente une première en Suisse, une démarche multisectorielle de transparence proactive, alignée avec la directive européenne NIS, visant à renforcer la résilience cyber nationale.
Elle incite les organisations à renforcer leurs dispositifs de détection et de réaction aux incidents, tout en favorisant une culture de coopération entre les secteurs public et privé
L’entrée en vigueur de cette obligation de signaler les cyberattaques traduit une volonté claire de la Suisse d’être à la pointe de la cybersécurité. En exigeant rapidité, coordination et responsabilité institutionnelle, cette mesure constitue un tournant stratégique pour la protection des infrastructures essentielles.