Conformité cyber en Suisse : passer du cadre à l'action en 2025
Plus tôt cette année, nous avons publié un guide sur la conformité à destination des PME suisses, présentant les éléments essentiels à connaître sur l’évolution du paysage réglementaire: guide sur la conformité pour les PME. Mais à mesure que de nouvelles lois entrent en vigueur, une nouvelle question se pose pour les organisations, quelle que soit leur taille: comment les appliquer concrètement ?
Avec des exigences sectorielles et opérationnelles de plus en plus strictes, l’enjeu se déplace de la sensibilisation vers la mise en œuvre. Cet article explore ce que les différents secteurs doivent entreprendre pour se conformer aux réglementations suisses en matière de cybersécurité en 2025, et comment les entreprises s’adaptent à ces nouvelles réalités.
Nouvelle Loi fédérale sur la protection des données (nLPD)
Entrée en vigueur: 1er septembre 2023
S'applique à : Toutes les entités traitant des données personnelles en Suisse
La nLPD aligne la Suisse sur le RGPD européen, renforçant les obligations de gouvernance des données, en particulier en matière de gestion des risques et de droits des individus.
Exigences clés à respecter :
- Évaluation d’impact relative à la protection des données (EIPD) pour tout traitement présentant un risque élevé pour les droits des personnes concernées
- Notification obligatoire des violations de données au Préposé fédéral à la protection des données et à la transparence (PFPDT)
- Respect des principes de "Privacy by Design" et "Privacy by Default", intégrant la protection des données dès la conception des systèmes et par défaut dans les paramétrages
- Tenue d’une documentation complète, incluant notamment un registre des activités de traitement
- Sanctions en cas de non-conformité pouvant atteindre jusqu’à CHF 250’000
En pratique :
Les organisations doivent mettre en place des processus internes pour évaluer les risques, gérer les incidents et documenter l'utilisation des données. Les prestataires de soins de santé, par exemple, sont soumis à une surveillance renforcée lorsqu’ils traitent des données sensibles, telles que les données biométriques.
Les entreprises dépourvues d’équipe de conformité interne font de plus en plus appel à des DPO externes pour assurer la gestion des protocoles d’alerte et les interactions avec les autorités de regulation.
Circulaire FINMA 2023/1 : Risques opérationnels et résilience
Entrée en vigueur: 1er janvier 2024
S'applique à : Banques, assureurs et gestionnaires d'actifs
Cette circulaire renforce les responsabilités en matière de cybersécurité au niveau des instances dirigeantes. Les conseils d’administration sont désormais tenus de définir activement les niveaux de tolérance au risque et de superviser la planification de la résilience face aux cybermenaces.
Exigences clés :
- Tests d'intrusion et red teaming réguliers
- Continuité d'activité et gestion de crise
- Inventaires complets des systèmes IT et des données
- Supervision effective par la direction
En pratique :
La conformité suppose une validation continue des défenses informatiques. Beaucoup d'institutions optent pour des outils autonomes simulant des cyberattaques afin d'obtenir des indicateurs exploitables.
LCI et Ordonnance sur la cybersécurité (OCS)
Entrée en vigueur: 1er avril 2025
S'applique à : Opérateurs d'infrastructures critiques (eau, énergie, transport, administrations)
Ce nouveau cadre réglementaire impose des obligations strictes de signalement des cyberincidents.
Exigences clés :
- Signaler toute cyberattaque sous 24h au NCSC
- Remettre une analyse complète sous 14 jours
- Clarifier les obligations auprès du NCSC si doute
- Amendes jusqu'à CHF 100'000
- Sanctions applicables dès le 1er octobre 2025
En pratique :
Les opérateurs mettent en place une surveillance en temps réel pour assurer la réactivité. Des services managés aident à remplir les exigences de disponibilité, de documentation et de communication avec les autorités.
Ordonnance sur l'approvisionnement en électricité (OApEl)
Entrée en vigueur: 1er juillet 2024
S'applique à : Fournisseurs d'électricité suisses
L'OApEl impose des auto-évaluations de la cybersécurité en lien avec la norme ICT minimale fédérale et le cadre NIST.
Exigences :
- Auto-évaluation tous les 24 mois
- Contrôles par ElCom
- Actions réglementaires en cas de non-conformité
Les fournisseurs intègrent ces audits à leurs processus existants et sollicitent des avis externes pour évaluer leur niveau de conformité.
NIS2 : Conformité indirecte pour les fabricants suisses
Entrée en vigueur: octobre 2024
Concernés : Entreprises suisses actives dans/supplier l'UE
Sans être membres de l'UE, de nombreux fabricants suisses sont concernés via leurs chaînes d'approvisionnement.
Exigences :
- Signalement des incidents sous 24h
- Gestion des risques fournisseurs
- Politiques de cybersécurité formalisées
Ces entreprises révisent leurs contrats et auditent leurs systèmes pour répondre aux attentes de leurs partenaires européens.
Secteur ferroviaire : Directive CySec Rail
Entrée en vigueur: 1er juillet 2024
S'applique à : Opérateurs ferroviaires suisses
Cette directive introduit des exigences minimales de cybersécurité dans les transports.
Exigences clés :
- Évaluations des risques cyber
- Plans de réponse aux incidents
- Collaboration avec les autorités nationales
Ces exigences sont intégrées aux plans de gestion des risques et de sécurité existants.
Vers une posture opérationnelle
La conformité en matière de cybersécurité en 2025 ne se résume plus à l’adoption de politiques ponctuelles. Elle repose sur une démarche continue : tests réguliers, documentation rigoureuse, gestion des incidents et contrôles techniques sont désormais indispensables.
Pour y parvenir sans nécessairement agrandir leur équipe IT, de nombreuses entreprises mettent en place des structures de soutien adaptées. Cela inclut le recours à des DPO externes, l’utilisation de plateformes de tests automatisés, ainsi que des services managés pour assurer la surveillance, la gestion des incidents et la traçabilité des opérations.
Prêt.e pour 2025?
Vous souhaitez évaluer la préparation de votre organisation face aux nouvelles exigences reglementaires?
Contactez keyIT pour en savoir plus sur notre accompagnement en cybersécurité opérationnelle : tests de conformité réglementaires, surveillance en temps réel, et stratégie de protection des données.
