Cybersécurité: la Confédération dresse son bilan 2024

L’IT de l’administration fédérale a souvent été attaquée en 2024, indique le service spécialisé de la Confédération pour la sécurité de l’information dans son rapport annuel.

Selon le communiqué, l’autorité mentionne en particulier les nombreuses attaques DDoS en lien avec la visite du président ukrainien Volodymyr Zelensky au Forum économique mondial (WEF) à Davos et durant la conférence sur la paix en Ukraine au Bürgenstock. Ces événements ont d’ailleurs conduit à une opération policière internationale à l’été 2025. L’administration fédérale a également constaté de nombreuses attaques de phishing, précise le rapport. Les prestataires internes de la Confédération ont observé des vagues de phishing utilisant par exemple des pièces jointes chiffrées, ainsi que des attaques ciblant directement Microsoft 365. Avec le déploiement généralisé de M365, la mise en œuvre de mesures de réduction des risques gagne en importance.

La bonne nouvelle selon le service spécialisé: «Dans l’ensemble, il ne s’est produit en 2024 aucun incident grave qui aurait mis sérieusement en danger les informations ou les moyens informatiques de l’administration fédérale.»

Mesures contre les futures fuites de données

Parmi les dossiers marquants de 2024 figure la cyberattaque contre l’hébergeur Xplain. Bien qu’elle ait eu lieu en 2023, ses conséquences ont occupé l’année suivante. La Confédération a approfondi l’analyse de l’incident et mis en œuvre des mesures destinées à éviter qu’une attaque d’une telle ampleur ne se reproduise. Ainsi, les travaux ont débuté pour un concept de formation axé sur les fonctions. Désormais, toutes les unités administratives doivent former systématiquement leurs collaboratrices et collaborateurs à la sécurité de l’information lors de leur entrée en fonction, puis au moyen de formations de base régulières.

Depuis l’incident Xplain, les activités de contrôle chez les fournisseurs de la Confédération ont été fortement mises au premier plan, ajoute le service spécialisé. Selon les unités administratives, ces contrôles sont menés de manière différente. Là où aucune activité de contrôle n’a encore eu lieu en 2024, elles ont au moins été planifiées pour 2025, précise le bilan. Le service spécialisé relève qu’il est lui-même habilité à inspecter des domaines dans lesquels des mandats sensibles au regard de la sécurité sont exécutés. En 2024, 104 contrôles ont été effectués auprès des exploitants. «Une déclaration de sécurité a été révoquée, à la suite de l’un de ces contrôles parce que l’entreprise en question n’avait pas observé les obligations qu’elle devait remplir en vertu de la LSI».

Comme autre mesure, la plupart des unités administratives ont complété leur inventaire des objets protégés en y intégrant les fournisseurs concernés. Celles qui n’avaient pas encore mis en place de gestion des prestataires ont été invitées par l'autorité spécialisée à définir un calendrier pour son introduction. La Confédération a également publié au printemps 2025 un rapport distinct montrant comment éviter à l’avenir les fuites de données chez les fournisseurs.

Mettre en œuvre la LSI

La Loi sur la sécurité de l’information (LSI) a également mobilisé l’administration fédérale en 2024. Entrée en vigueur début 2024, elle crée un cadre de sécurité uniforme et contraignant pour l’ensemble des autorités fédérales, selon le rapport. La LSI constitue en fait la base légale du service spécialisé, également créé début 2024. Sa mise en place s’est faite progressivement, par la création de nouveaux postes et la réorganisation de postes existants du secrétariat général du Département fédéral de la défense, de la protection de la population et des sports. «En raison de la situation des ressources, la mise en
place du service spécialisé Conf séc inf a constitué un défi», ajoute le service spécialisé. De ce fait, toutes les bases nécessaires à la mise en œuvre de la LSI ne sont pas encore disponibles.

Il reste beaucoup à faire

L’administration fédérale réagit activement aux défis actuels et futurs en matière de sécurité de l’information, souligne le service spécialisé dans le chapitre final. «Il sera décisif de poursuivre systématiquement au cours de ces prochaines années les démarches de professionnalisation en la matière.» Le service cite notamment la promotion de l’innovation dans le domaine de la cybersécurité, ainsi que l’intensification de la collaboration au sein de l’administration fédérale et avec des partenaires externes.

Parmi les autres priorités figurent la mise en place et l’exploitation d’un système de gestion de la sécurité de l’information (SMSI), la réalisation d’audits chez les prestataires externes et la planification d’un Security Operations Center (SOC) au Centre de services informatiques (CSI-DFJP).

Dans un autre chapitre, le Service fédéral de la sécurité de l’information reconnaît également des lacunes concernant les «objets à protéger» — qu’il s’agisse de bases de données ou de ressources informatiques. En 2024, 2’582 de ces objets étaient recensés. Si 86% disposaient d’une documentation de sécurité valide, seules 89% de ces dernières étaient réellement à jour, selon le rapport. Globalement, le niveau de suivi reste similaire à celui de l’an dernier.

Le service spécialisé Conf séc inf juge toutefois les chiffres indiqués «dans l’ensemble trop bas, ce qui trahit des difficultés. En conséquence, les exigences de conformité ne sont pas garanties». Il est en outre impossible d’affirmer de manière générale «si la qualité des documents de sécurité informatique a été vérifiée de manière approfondie ni s’ils ont fait l’objet d’un examen critique. Même des documents à jour ne garantissent pas que les mesures de sécurité ont été introduites et contrôlées correctement.»