L’OFCS a reçu 164 signalements de cyberattaques en six mois
Depuis avril 2025, les cyberattaques contre les infrastructures critiques en Suisse doivent être signalées. L’Office fédéral de la cybersécurité (OFCS) a enregistré 164 incidents depuis lors, le secteur financier étant le plus touché. Dès à présent, des sanctions sont appliquées en cas de non-respect de cette obligation.
Six mois après l’entrée en vigueur de l'obligation de signaler les cyberattaques contre les infrastructures critiques, l’Office fédéral de la cybersécurité (OFCS) dresse un premier bilan. 164 signalements ont été enregistrés depuis l’introduction de l’obligation, selon un communiqué.
Les attaques DDoS dominent le tableau avec 18,1%, suivies du piratage (16,1%), des ransomwares (12,4%), du vol d’identifiants (11,4%), des fuites de données (9,8%) et des logiciels malveillants (9,3%). L’OFCS relève également des cas combinés, par exemple des ransomwares associés à une exfiltration de données.
Le secteur financier en première ligne
Avec 19% des signalements, la finance est le domaine le plus touché, devant l’informatique (8,7%) et l’énergie (7,6%). Des déclarations proviennent également des administrations publiques, du secteur de la santé, des télécoms, ainsi que de quelques secteurs des services postaux, des transports, des médias, de l'approvisionnement alimentaire et des technologies.
Les exploitants respectent les délais fixés pour la déclaration des incidents. L’OFCS souligne en particulier qu’ils utilisent le Cyber Security Hub, ce qui «simplifie considérablement le traitement des cyberattaques».
Les sanctions entrent désormais en vigueur
Les signalements et leur analyse statistique facilitent la gestion des incidents et contribuent à une meilleure évaluation de la menace au niveau national. Selon l’OFCS, ils permettent notamment d’alerter rapidement d’autres organisations potentiellement concernées. Depuis l’introduction de l’obligation de déclaration, un nombre bien plus important d’acteurs participent à l’échange direct d’informations, ce qui permet aux alertes d’atteindre un plus grand nombre d’organisations.
Depuis ce 1er octobre 2025, les sanctions prévues par la loi sur la sécurité de l’information sont entrées en vigueur. Les violations de l’obligation de déclaration pourront être sanctionnées par des amendes allant jusqu’à 100’000 francs. L’OFCS doit dans un premier temps contacter les exploitants concernés. S’ils ne réagissent ni à cette prise de contact ni à la décision qui suivra, l’Office pourra déposer une plainte pénale.
