La Nouvelle Loi Suisse sur la Sécurité de l'Information :

Ce que les Entreprises Doivent Savoir 

Le Contexte de la Loi sur la Sécurité de l'Information (LSI)

Les cyberattaques ont considérablement augmenté ces dernières années, affectant non seulement les particuliers, mais aussi les entreprises et les administrations publiques, souvent avec des conséquences graves. Pour répondre à ces menaces croissantes, la Suisse a introduit une nouvelle Loi sur la Sécurité de l'Information (LSI), visant à renforcer la cybersécurité au niveau national. Mais que signifie cette loi pour les entreprises suisses ? Voici un aperçu des points clés que vous devez connaître.

La LSI : ce que les entreprises doivent savoir

Qu'est-ce que la loi sur la sécurité de l'information (LSI) ? 

La LSI est une loi fédérale suisse qui régit la cybersécurité, ou sécurité de l'information, pour les entités gouvernementales. Entrée en vigueur le 1er janvier 2024, elle unifie les bases légales existantes dans divers textes pour assurer la protection des informations et des systèmes informatiques au sein de l'administration fédérale et des organisations associées, renforçant ainsi la sécurité globale de l'information.

La révision de la LSI (revLSI), prévue pour entrer en vigueur le 1er janvier 2025, introduit une obligation de signalement des cyberattaques pour les opérateurs d'infrastructures critiques et les fournisseurs de systèmes utilisés dans ces infrastructures. En outre, les particuliers auront également la possibilité de faire des signalements volontaires (et anonymes) des cyberincidents et des vulnérabilités à l'Office fédéral de la cybersécurité (OFCS).

image

Que signifie cette loi pour la Suisse ?

La loi sur la sécurité de l'information renforce la cybersécurité en Suisse et lutte ainsi contre les cyberattaques croissantes. Cette législation globale assure qu'une large gamme d'institutions et d'entreprises contribuent à l'amélioration de la sécurité des informations et des systèmes numériques. Ainsi, elle renforce la résilience des infrastructures suisses et accroît la confiance dans la sécurité des communications numériques.

Quelle est l'importance de la LSI pour les entreprises suisses ?

Pour les entreprises suisses, la LSI est cruciale car elle va bien au-delà de la simple sécurité informatique et de la protection des données. Le terme «cybersécurité» regroupe toutes les mesures qui servent à protéger les informations des autorités et des entreprises contre les accès non autorisés, les manipulations ou les pertes. En conformité avec cette loi, les entreprises pourront mieux réagir aux incidents de sécurité et prévenir des dommages plus importants. En respectant les exigences de la LSI, les entreprises assurent une meilleure protection des données sensibles.

La LSI protège en premier lieu les informations gérées par la Confédération ainsi que les systèmes informatiques fédéraux. Outre les organisations étatiques, cela concerne également les entreprises qui accompagnent les autorités fédérales et cantonales dans leurs tâches. L'obligation de signalement de la révision de la LSI couvre cependant une multitude d'autres secteurs, spécifiquement énumérés dans la loi et consultables ici.

Secteurs Concernés par l'Obligation de Signalement

add
  • Établissements d'enseignement supérieur
  • Autorités fédérales, cantonales et municipales
  • Organisations publiques de sécurité et de secours, d'approvisionnement en eau potable, de traitement des eaux usées et de gestion des déchets (dans la mesure où elles agissent en tant que puissance publique)
  • Fournisseurs d'énergie et entreprises actives dans le commerce de l'énergie, la mesure ou le contrôle de l'énergie
  • Banques, assurances privées et infrastructures des marchés financiers
  • Établissements de santé sur la liste hospitalière cantonale (outre les hôpitaux, également les maternités et les établissements de soins)
  • Laboratoires médicaux autorisés selon la loi sur les épidémies
  • Entreprises qui fabriquent, mettent sur le marché ou importent des médicaments
  • Organismes de sécurité sociale
  • La SRG et les agences de presse d'envergure nationale (actuellement uniquement Keystone-SDA)
  • Fournisseur de services postaux
  • Entreprises ferroviaires et entreprises de remontées mécaniques, de trolleybus, d'autobus et de navigation
  • Entreprises de l'aviation civile et aéroports nationaux selon le plan sectoriel de l'infrastructure
  • Certaines entreprises de navigation (Rhin et port de Bâle)
  • Entreprises qui fournissent à la population des biens essentiels de première nécessité, et dont la défaillance ou la détérioration pourrait entraîner des pénuries importantes
  • Fournisseurs de services de télécommunication enregistrés
  • Registraires
  • Fournisseurs et opérateurs de services et d'infrastructures liés à l'exercice des droits politiques (vote électronique, systèmes de gestion des registres électoraux, etc)
  • Fournisseurs et opérateurs de services de cloud computing, de moteurs de recherche, de services numériques de sécurité et de confiance, ainsi que de centres de données situés en Suisse
  • Fabricants de matériel ou de logiciels dont les produits sont utilisés par des infrastructures critiques, qui disposent d'un accès à distance pour la maintenance, ou qui sont employés pour le contrôle et la surveillance des systèmes et processus opérationnels, ou pour garantir la sécurité publique

Qui est concerné par la LSI ?

La LSI s'applique à un large éventail d'autorités, d'organisations et d'entreprises en Suisse.

Autorités

  • Assemblée fédérale
  • Conseil fédéral
  • Tribunaux fédéraux
  • Ministère public de la Confédération et autorité de surveillance du Ministère public de la Confédération
  • Banque nationale suisse

Cantons

  • Les cantons lorsqu'ils traitent des informations classifiées de la Confédération ou ont accès aux moyens informatiques de la Confédération

Organisations

  • Services du Parlement
  • Administration fédérale
  • Administrations des tribunaux fédéraux
  • Armée
  • Les organisations et personnes de droit public ou privé qui n'appartiennent pas à l'administration fédérale, mais qui sont chargées de tâches administratives

Non seulement les autorités fédérales et cantonales, mais aussi les entreprises privées qui assistent les autorités dans l'accomplissement de leurs devoirs sont concernées. La conformité à la LSI exige de ces entités qu'elles respectent des pratiques et des politiques de sécurité et qu'elles vérifient et mettent à jour régulièrement leurs systèmes.

Que prévoit exactement la nouvelle loi ?

La LSI contient plusieurs dispositions centrales :

Système de Gestion de la Sécurité de l'Information (SGSI)

remove add

Les autorités et organisations fédérales doivent établir un Système de Gestion de la Sécurité de l'Information (SGSI) conforme aux exigences légales.

Protection d'accès et intégrité de l'information

remove add

Les informations doivent être accessibles uniquement aux personnes autorisées, protégées contre les modifications non autorisées, et disponibles en cas de besoin. Il doit également être garanti que les informations ne puissent pas être modifiées de manière non autorisée ou accidentelle et qu'elles puissent être traitées de manière traçable. De plus, elles doivent être disponibles lorsque les informations sont nécessaires.

Exigences de la LSI en matière de gestion des risques

remove add

Un système de gestion des risques doit être mis en place pour identifier, évaluer et traiter les risques régulièrement.

Mesures de sécurité physique

remove add

La LSI s'assure que les organisations et les autorités de la Confédération définissent une procédure de sécurité lors de l'utilisation de moyens informatiques, y compris l'attribution d'un niveau de sécurité .

Gestion du personnel et obligations de confidentialité

remove add

La LSI exige des organisations et des autorités fédérales qu'elles sélectionnent leur personnel avec soin, qu'elles identifient les risques de manière appropriée, qu'elles forment correctement leur personnel, et qu'elles les obligent, si nécessaire, à respecter la confidentialité.

Mesures de protection physique 

remove add

La loi oblige les organisations et les autorités fédérales à assurer la protection physique des locaux et des zones concernées afin de réduire les risques.

Mesures de sécurité contractuelles 

remove add

La LSI veille à ce que les organisations et les autorités fédérales définissent contractuellement des mesures de sécurité lorsqu'elles collaborent avec d'autres entreprises et s'assurent de leur respect.

image

Quand la loi m'oblige-t-elle à signaler une cyberattaque ?

Une cyberattaque doit être signalée conformément à la révision de la LSI (revLSI), qui entrera en vigueur le 1er janvier 2025, si elle :

  • Met en péril le fonctionnement d'une infrastructure critique concernée.
  • A donné lieu à une manipulation ou à une fuite d'informations.
  • N'a pas été détectée pendant une période prolongée, en particulier s'il existe des indices qu'elle a été perpétrée en vue de préparer d'autres cyberattaques.
  • Est liée à une extorsion, à des menaces ou à une contrainte.

Cette obligation concerne divers secteurs, notamment l'énergie, la finance, la santé, ainsi que les entreprises de cloud computing et les fournisseurs de services critiques. La revLSI s'applique également aux entreprises actives dans les secteurs de l'élimination des déchets, de l'information et de la communication, ainsi que dans ceux de l'alimentation, des transports et de la sécurité publique. Cela peut inclure les fournisseurs de services cloud, les prestataires de services ou les fabricants de matériel et de logiciels dont les produits sont utilisés par des infrastructures critiques.

image

La LSI comparée au NIS2

La directive NIS2 est une directive européenne contraignante pour ses États membres. La LSI s'applique premièrement à l'administration fédérale, aux autorités cantonales et à leurs partenaires en Suisse. Les deux lois visent à renforcer la cybersécurité , mais diffèrent sur plusieurs points.

La LSI introduit une obligation de signaler des cyberattaques à partir de 2025 et se focalise sur la création d'un Système de Gestion de la Sécurité de l'Information (SGSI). La directive NIS2 exige qu'une évaluation soit transmise aux autorités dans les 72 heures en cas d'incidents de sécurité significatifs et prévoit des sanctions plus sévères, avec des amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel global. Les PDG ou les membres des conseils d'administration peuvent également être tenus responsables. De plus, NIS2 concerne un groupe plus large d'entreprises et impose des obligations plus étendues, y compris la sécurité des chaînes d'approvisionnement, la gestion des risques, la garantie de la sécurité des réseaux et des systèmes d'information, ainsi que des mesures pour minimiser les impacts des incidents de sécurité.

Mais la directive NIS2 peut aussi avoir un impact sur les entreprises suisses. Cela s'applique en particulier aux entreprises qui ont des filiales au sein de l'Union européenne. Les prestataires de services informatiques suisses qui servent des clients directement ou indirectement via leurs filiales au sein de l'UE sont également concernés. Les entreprises suisses peuvent également être impactées par NIS2 en raison des chaînes d'approvisionnement et des dépendances vis-à-vis des partenaires commerciaux.

Ce qu'il faut savoir

Points Essentiels pour les Entreprises Suisses : 

Champ d'application de la LSI

remove add

Concerne les autorités fédérales, cantonales et certaines organisations travaillant avec des informations fédérales.

Délai de signalement des cyberattaques

remove add

À partir de 2025, les cyberattaques doivent être signalées dans les 24 heures. Cette obligation concerne de nombreuses entreprises de divers secteurs.

Champ d'application de la LSI

remove add

Une infraction à l'obligation de signaler peut être punie d'une amende pouvant aller jusqu'à 100 000 CHF.

Impact de la Directive NIS2

remove add

Les entreprises suisses actives dans l'UE pourraient être concernées par cette directive. Cette loi est similaire à la LSI, mais elle est beaucoup plus étendue.

image

Télécharger les supports

Sous le lien suivant, l'Office Fédéral de la Cybersécurité a élaboré des modèles pour un concept de Sécurité et de Protection des Informations (concept SIPD), une analyse des risques ainsi qu'un plan d'urgence

Guide juridique sur la LSI

Pour des conseils juridiques détaillés, vous pouvez consulter notre guide complet pour préparer votre entreprise aux nouvelles exigences légales. Téléchargez notre livre blanc détaillé !

image

Vous avez des questions ?

N'hésitez pas à nous contacter !

Trend Micro Switzerland GmbH

Contactez-nous, car nous serons heureux de vous aider dans votre démarche de cybersécurité en référence à la LSI.