Obligation LSI 2026 : signaler une cyberattaque en Suisse en 24 heures

Depuis le 1er avril 2025, la révision de la Loi fédérale sur la sécurité de l'information (LSI — RS 128) impose aux opérateurs d'infrastructures critiques en Suisse de signaler toute cyberattaque significative à l'Office fédéral de la cybersécurité (OFCS) dans les 24 heures suivant sa détection. En 2026, ce dispositif est pleinement opérationnel : la fenêtre de 24 heures est non négociable, et un rapport complémentaire détaillé est attendu sous 14 jours. Connaître chaque étape du processus de signalement peut faire la différence entre une réponse coordonnée et une crise aggravée.

Qui est concerné par l'obligation de signalement LSI 2026 ?

La LSI révisée cible les opérateurs d'infrastructures critiques (OIC), soit les organisations dont la défaillance aurait des répercussions majeures sur l'économie, la sécurité ou l'approvisionnement de la population suisse. Environ 300 entités sont directement visées selon les estimations de l'OFCS.

Les fournisseurs de services numériques qui hébergent des données critiques pour ces secteurs peuvent également être assujettis. Si votre organisation traite des systèmes ou des données dont la compromission pourrait paralyser un service essentiel, consultez l'Ordonnance sur la sécurité de l'information (OSIS) pour confirmer votre assujettissement.

Étape 1 – Détecter et qualifier l'incident dans les premières heures

La chronomètre des 24 heures commence au moment où votre organisation a connaissance d'une cyberattaque, pas à l'heure de sa commission. La détection rapide est donc déterminante.

Une cyberattaque est signalable au sens de la LSI lorsqu'elle remplit au moins l'un de ces critères :

• Impact opérationnel significatif : interruption partielle ou totale d'un service critique, chiffrement de systèmes (ransomware), accès non autorisé à des données sensibles.
• Atteinte à des infrastructures essentielles : systèmes de contrôle industriel (SCADA/ICS), plateformes de paiement, réseaux hospitaliers.
• Violation de données personnelles : si des données au sens de la Loi fédérale sur la protection des données (nLPD — RS 235.1) sont concernées, une notification parallèle au Préposé fédéral à la protection des données (PFPDT) est requise dans les 72 heures.

À retenir : Ne pas confondre incident mineur et cyberattaque signalable. Un poste de travail isolé compromis par un phishing sans propagation au réseau ne déclenche généralement pas l'obligation LSI. Un ransomware ayant chiffré des serveurs critiques, si.

Dès la détection, horodatez précisément : heure de découverte, nature de l'alerte initiale (SIEM, EDR, remontée humaine), systèmes affectés. Ces données constituent la base du signalement.

Étape 2 – Alerter en interne et activer le plan de réponse aux incidents

Une fois l'incident qualifié, l'escalade interne doit être immédiate. Le temps passé à identifier qui alerter en interne est du temps perdu sur la fenêtre de 24 heures.

La chaîne d'alerte type comprend :

1. Le responsable de la sécurité de l'information (RSSI ou CISO) — point de contact central pour coordonner la réponse technique et le signalement réglementaire.
2. La direction générale — informée dans l'heure pour les incidents de gravité élevée, afin de valider les décisions à fort impact (isolation de systèmes, communication de crise).
3. L'équipe juridique ou le DPO (délégué à la protection des données) — mobilisée si des données personnelles sont concernées (notification PFPDT dans les 72 h).
4. Le prestataire MSSP (Managed Security Service Provider) — si votre organisation externalise la réponse aux incidents.

Le Plan de réponse aux incidents (PRI) doit prévoir un rôle explicite de "responsable signalement LSI", distinct du CISO si l'organisation est de grande taille. Ce responsable compile les informations pour le rapport initial et maintient le contact avec l'OFCS tout au long de la gestion de crise.

Étape 3 – Soumettre le signalement initial à l'OFCS dans les 24 heures

Le signalement s'effectue via le portail officiel de l'OFCS sur www.ofcs.admin.ch. Un formulaire structuré guide l'organisation à travers les informations minimales requises pour le rapport initial.

Informations requises pour le rapport initial

Le rapport des 24 heures ne doit pas être exhaustif — l'OFCS reconnaît qu'une enquête complète n'est pas possible en si peu de temps. Les éléments attendus sont :

• Nature de l'attaque : type (ransomware, intrusion, DDoS, exfiltration de données, etc.)
• Systèmes affectés : inventaire partiel des systèmes ou services compromis
• Impact estimé : périmètre opérationnel touché, données potentiellement concernées
• Mesures immédiates prises : isolation de systèmes, coupure de connexions, sauvegarde des preuves
• Heure de détection : moment précis où l'incident a été identifié

L'OFCS peut prendre contact avec votre organisation après réception du signalement pour demander des précisions ou proposer un soutien technique. Cette interaction est confidentielle et n'implique pas automatiquement de procédure judiciaire. Pour les incidents impliquant des actes criminels avérés (extorsion, accès frauduleux caractérisé), un signalement à la police cantonale ou fedpol complémentaire reste recommandé, indépendamment de l'obligation LSI.

Étape 4 – Transmettre le rapport complémentaire dans les 14 jours

Le rapport initial des 24 heures est suivi d'un rapport complémentaire détaillé à soumettre dans les 14 jours calendaires suivant la détection. Ce second rapport constitue le bilan complet de l'incident.

Il doit inclure :

• Chronologie précise de l'attaque, depuis la compromission initiale jusqu'à la containment
• Vecteur d'attaque identifié : phishing ciblé, exploitation d'une vulnérabilité (CVE référencée), accès via credentials compromis, etc.
• Données affectées : volume, catégorie (personnelles, confidentielles, critiques), destinataires non autorisés
• Mesures correctives déployées : patchs appliqués, segmentation réseau renforcée, réinitialisation de credentials
• Plan d'action préventif : mesures mises en place pour prévenir une récidive similaire

Si l'enquête technique est toujours en cours à J+14, soumettez un rapport partiel avec les éléments disponibles et signalez explicitement à l'OFCS que l'investigation se poursuit. L'identité numérique de l'auteur de l'attaque n'est pas requise dans ce rapport — l'attribution est du ressort de fedpol. Pour les organisations qui déploient des solutions d'identité numérique E-ID, documenter l'état des systèmes IAM lors de l'incident renforce la qualité du rapport.

Risques et conséquences en cas de non-signalement

Ne pas respecter l'obligation de signalement dans les délais prévus expose l'organisation à plusieurs types de risques.

Sanctions administratives : la LSI révisée prévoit des mesures coercitives pour les OIC récalcitrantes. Les modalités exactes des amendes sont définies par le Conseil fédéral dans les ordonnances d'application. Les premières décisions de l'OFCS en la matière sont attendues pour 2026, au terme de la première année d'opération complète du dispositif.

Responsabilité civile : si une cyberattaque non signalée se propage à des partenaires ou clients dont les systèmes sont interconnectés, l'organisation qui a omis de signaler peut voir sa responsabilité engagée pour les dommages causés aux tiers [art. 41 CO — Code des obligations].

Risque réputationnel : la révélation publique d'un incident non signalé — via une fuite, une plainte ou un audit — génère une perte de confiance disproportionnée par rapport au coût d'un signalement transparent. L'OFCS traite les signalements avec confidentialité, contrairement aux révélations médiatiques.

Pour les organisations traitant des données personnelles, l'absence de notification au PFPDT dans les 72 heures en cas de violation de données constitue une infraction distincte à la nLPD (RS 235.1), passible d'une amende administrative pouvant atteindre 250 000 CHF. Les obligations LSI et nLPD se cumulent — elles ne s'excluent pas.

Comment préparer votre organisation dès maintenant

La conformité à la LSI ne s'improvise pas le jour d'un incident. Voici les actions structurantes à mettre en place avant qu'une attaque survienne :

1. Cartographier vos actifs critiques : identifier les systèmes dont la compromission déclencherait l'obligation LSI (serveurs de production, bases de données clients, systèmes SCADA).
2. Rédiger et tester votre Plan de réponse aux incidents (PRI) : inclure un chapitre spécifique "signalement LSI" avec le responsable désigné, les contacts OFCS, et le modèle de rapport initial pré-rempli.
3. Désigner un responsable LSI : en interne ou via un MSSP — cette personne doit connaître le portail OFCS et les formulaires avant qu'un incident survienne.
4. Configurer des outils de détection : un SIEM (Security Information and Event Management) ou un EDR (Endpoint Detection and Response) réduit le délai entre compromission et détection, préservant ainsi la fenêtre des 24 heures.
5. Former vos équipes IT et direction : les incidents les plus coûteux sont souvent ceux où personne ne savait qui alerter ni comment.
6. Réaliser un audit annuel de conformité LSI : vérifier que vos procédures restent alignées sur les mises à jour des ordonnances d'application.

Pour les données personnelles, consultez les ressources de protection des données numériques en Suisse afin d'articuler correctement vos obligations LSI et nLPD.

À retenir : La LSI 2026 n'est pas une contrainte isolée — elle s'inscrit dans un cadre de cybersécurité nationale coordonné. Les organisations qui signalent rapidement bénéficient d'un soutien de l'OFCS et contribuent à protéger l'ensemble des infrastructures critiques suisses.

Avertissement : Les informations présentes sur cette page sont fournies à titre informatif uniquement et ne constituent pas un conseil juridique. Consultez un avocat spécialisé en droit numérique ou un consultant en conformité pour votre situation spécifique.