Nouvelle obligation de signalement dans la loi sur la sécurité de l’information

Jan 20, 2022

Lors de sa séance du 12 janvier 2022, le Conseil fédéral a ouvert la procédure de consultation sur le l’avant-projet de modification de la loi sur la sécurité de l’information relatif à l’introduction d’une obligation de signaler les cyberattaques contre les infrastructures critiques. Cet avant-projet crée les bases légales nécessaires à l’introduction de l’obligation de signalement et définit les tâches du Centre national pour la cybersécurité (NCSC), qu’il institue comme centrale de signalement des cyberattaques. La consultation durera jusqu’au 14 avril 2022.

Obligation de signalement pour les infrastructures critiques

Les exploitants d’infrastructures critiques en Suisse, c’est-à-dire les infrastructures pour approvisionnement en eau potable et en énergie, les infrastructures d’information, de communication et de transport ainsi que d’autres processus, systèmes et installations essentiels au fonctionnement de l’économie ou au bien-être de la population, ne sont actuellement pas tenus de signaler une éventuelle cyberattaque. Le signalement se fait sur une base volontaire.

L’avant-projet prévoit une obligation de signaler les cyberattaques au NCSC pour exploitants d’infrastructures critiques le plus rapidement possible après leur découverte. Ceci afin que le NCSC puisse reconnaître à temps les modèles d’attaque, avertir les personnes éventuellement concernées et leur recommander des mesures de prévention et de défense appropriées.

L’obligation de signalement pour les exploitants d’infrastructures critiques s’appliquera aux cyberattaques recelant un potentiel important de dommages. Il s’agit, en particulier, des attaques qui mettent en péril le bon fonctionnement des infrastructures critiques ou qui s’accompagnent d’actes de chantage, de menaces ou de contrainte. Le NCSC assumera le rôle de centrale de signalement.

Le NCSC mettra à disposition un formulaire de notification électronique. Cela permettra de saisir facilement les signalements et de les transmettre directement à d’autres services si on le souhaite.

Obligation de la Confédération d’apporter son soutien en cas de cyberattaque

L’avant-projet prévoit également de charger le NCSC de mettre en garde le public contre les cybermenaces et de le sensibiliser aux cyberrisques. Les exploitants d’infrastructures critiques, dont font partie les autorités cantonales et communales, doivent en outre soutenir le NCSC dans la gestion des cyberincidents.

Relation avec d’autres obligations d’annonce et échange d’informations entre les autorités

L’introduction de cette obligation de signaler les cyberattaques touche à des obligations d’annonce déjà existantes, telles que l’obligation d’annonce prévue à l’article 24 de la loi révisée sur la protection des données (LPD) en cas de violation de la sécurité des données personnelles. Car dans la pratique, il est fréquent que les cyberattaques entraînent des violations de la sécurité des données personnelles. Dans ce cas, l’obligation de signaler les cyberattaques ne remplace pas les obligations d’annonce, mais la complète.

Néanmoins, la charge de travail liée à l’exécution des différentes obligations de notification doit être maintenue au minimum. C’est pourquoi les personnes doivent avoir la possibilité de transmettre la notification de la cyberattaque à d’autres services en même temps qu’ils l’envoient au NCSC, afin de remplir d’autres obligations d’annonce. Inversement, le NCSC acceptera également les communications relatives à des cyberattaques qui ont été transmises dans le cadre d’une autre obligation d’annonce. Cela permettra d’éviter que les responsables concernées ne doivent déclarer le même incident à différents services par le biais de procédures différentes.

Modification de la loi révisée sur la protection des données

Afin que le Préposé fédéral à la protection des données et à la transparence (PFPDT) puisse faire appel aux spécialistes techniques du NCSC lors de l’analyse d’une violation de la sécurité des données l’art. 24, al. 5bis LPD sera révisée et reverra que le PFPDT peut transmettre la notification d’une violation de la sécurité des données au NCSC. La condition est que le responsable, qui est tenu d’informer le PFPDT, ait donné son accord préalable à la transmission. En outre, la transmission ne doit pas permettre de contourner l’art. 24, al. 6, LPD révisée, selon lequel la communication ne peut être utilisée dans le cadre d’une procédure pénale qu’avec l’accord de la personne soumise à l’obligation de communiquer.

Application de l’obligation de notification au moyen de sanctions

S’il devait y avoir une violation de l’obligation de signalement ou de fournir des informations, il est possible que le NCSC émette une décision assortie d’une menace d’amende en tant qu’ultima ratio. La limite supérieure de l’amende est de 100’000 francs (contrairement aux 250’000 francs de la révision de la LPD). Est punissable la personne physique qui, au sein de l’infrastructure critique, aurait dû veiller à ce que la décision du NCSC soit respectée (cf. article 29 du Code Pénal), une responsabilité pénale étant adressée à l’échelon de la direction des entreprises, c’est-à-dire aux personnes dirigeantes qui ont le pouvoir de décision et d’instruction. Comme dans la révision de la LPD, une imposition d’amendes aux entreprises a été ajoutée : Jusqu’à un montant de 20 000 francs, l’amende peut être infligée directement à l’infrastructure critique plutôt qu’à la personne physique responsable. Ceci afin d’éviter des enquêtes coûteuses.

Edith Luginbühl

Assistante

Edith Luginbühl est une assistante engagée et expérimentée avec plus de 50 ans d'expérience professionnelle. Sa carrière professionnelle a commencé par une formation commerciale dans une grande banque et l'a menée dans différents secteurs, dont la restauration, l'hôtellerie, la location de voitures, les agences de voyage et la rédaction de journaux. Parmi ses points forts, on peut citer son caractère aimable et professionnel, sa fiabilité ainsi que son sens aigu du détail.

Alex Wild

L'étudiant

Alexander Wild a commencé ses études de droit à l'Université de Zurich en 2019. Avant et pendant ses études, il a déjà pu acquérir une première expérience dans un département de compliance d'une banque, a travaillé en tant que support informatique ainsi que dans un département juridique d'une entreprise pharmaceutique active au niveau international. Ses activités comprenaient entre autres la vérification/le respect des instructions bancaires, des sanctions, des clients et du risque pays ; l'évaluation du risque client général pour la banque ; le support Wet Ink ainsi que le support dans l'optimisation des processus de signature de contrats. Depuis 2022, il travaille comme assistant juridique chez Balthasar Legal AG et LR | Rechtsanwälte. Il devrait terminer ses études de master en 2025.

Sangmo Agontsang

Paralegal

Sangmo Agontsang a obtenu son diplôme d'économiste à la Kaderschule de Zurich en 2012. Après l'obtention de son diplôme, elle a travaillé comme assistante du CEO, notamment pour Freitag lab ag et CBM Suisse. Elle a en outre acquis de l'expérience dans l'organisation de la Kaderschule Zürich et a travaillé pendant trois ans dans le département Intellectual Property de Freitag lab ag. Elle y a travaillé au niveau international avec une équipe d'avocats pour défendre les droits de l'entreprise. Depuis 2022, elle travaille comme parajuriste chez Balthasar Legal AG.

Markus Bruggmann

MLaw Conseiller principal

MLaw Markus Bruggmann a terminé ses études de droit à l'Université de Zurich en 2013. Depuis, il a travaillé entre autres pour une banque, un cabinet d'avocats d'affaires et une compagnie d'assurance, où il s'est spécialisé dans le conseil ainsi que dans la vérification et la rédaction de contrats dans les domaines du droit de la communication et de la technologie (protection des données), en tenant compte du droit de la responsabilité civile et de la propriété intellectuelle. Parmi ses points forts figurent ses capacités d'analyse et sa vaste expérience.