La nouvelle loi fédérale sur la sécurité de l'information laisse beaucoup d'organisations perplexes

Le 1er janvier 2024, la nouvelle loi sur la sécurité de l'information (LSI) est entrée en vigueur en Suisse. Elle oblige notamment les autorités fédérales à mettre en place un système de gestion de la sécurité de l'information (SGSI) et renforce également les obligations des exploitants d'infrastructures critiques en matière de cybersécurité. Swiss Infosec a mené une enquête à propos de la nouvelle loi, à laquelle 120 entreprises ont participé.  L'entreprise de conseil et de formation dans le domaine de la cybersécurité a voulu savoir si le thème de la LSI avait été intégré par les autorités et les organisations. L'enquête aborde aussi l'importance de la sécurité de l'information aux yeux des entreprises sondées, précise le communiqué de Swiss Infosec.

Selon cette enquête, la sécurité de l'information est très importante dans les entreprises suisses: près de 62% des organisations ont un CISO. En revanche, l'introduction de systèmes de gestion de la sécurité d'information (ISMS), que la nouvelle loi oblige les offices fédéraux à mettre en place, pose problème. Parmi les participants à l'enquête, seuls un peu plus de 43% semblent avoir mis en place un ISMS.

Par ailleurs, un peu plus d’un tiers des participants à l'enquête ont indiqué que leur organisation exploitait des infrastructures critiques. Elles sont donc directement concernées par la LSI et seront à l'avenir tenues de déclarer les cyberattaques contre les infrastructures critiques. Selon les résultats de l'enquête, une majorité s'est déjà penchée sur cette obligation de notification.

Qui est concerné par la LSI et qui ne l'est pas semble toutefois encore susciter des incertitudes. Ainsi, 29% des personnes interrogées ont indiqué ne pas savoir si la loi concernait leur organisation ou leur autorité. En revanche, près d’un quart des organisations sondées se disent concernés par la LSI, tandis que près de la moitié  répondent par la négative.