Êtes-vous dans le catalogue ? C'est l'art. 74b ISG, et non l'incident, qui détermine l'obligation de signalement
L'obligation de signalement dans les 24 heures introduite par la révision de l'ISG est entrée en vigueur et est assortie de sanctions depuis octobre 2025. Pour la plupart des entreprises, cependant, une question préalable reste sans réponse : le catalogue sectoriel de l'art. 74b ISG les englobe-t-il seulement — une auto-évaluation qu'aucune entreprise non financière n'a pratiquement jamais formellement conduite.
Dr. iur. Servatius von Tatzenberg
Depuis le 1er avril 2025, les exploitants d’infrastructures critiques sont tenus de signaler à l’Office fédéral de la cybersécurité (OFCS) tout cyberattaque soumise à déclaration dans les 24 heures suivant sa découverte. Ce délai est fixé à l’art. 74e de la loi sur la sécurité de l’information (ISG) ; l’amende pouvant atteindre 100 000 francs, applicable depuis le 1er octobre 2025, figure à l’art. 74h ISG. Les modalités de signalement et les personnes exposées à la menace d’amende ont déjà été examinées ici. La question que la plupart des entreprises n’ont pas encore tranchée est plus fondamentale : l’art. 74b ISG les classe-t-il seulement parmi les organisations soumises à l’obligation de signalement ?
L’art. 74b ISG délimite le champ d’application par un catalogue sectoriel. Quiconque garde en tête le seul filtre « finance » lit mal la disposition. Le catalogue recouvre pour l’essentiel les neuf secteurs des infrastructures critiques et leurs quelque vingt-sept sous-secteurs : énergie, approvisionnement en eau et gestion des déchets, transports, santé, finances et assurances, administration publique et sécurité, services numériques incluant les exploitants de cloud et de centres de données, approvisionnement alimentaire, et autres. Un distributeur d’énergie régional y figure, une entreprise de logistique, un groupement hospitalier, un service cantonal. Aucun d’eux n’est une banque, et aucun n’a le réflexe de se chercher dans l’ISG.
Figurer dans un secteur ne suffit cependant pas. L’art. 12 de l’ordonnance sur la cybersécurité (CSV) fixe des critères qualitatifs et des seuils quantitatifs qui varient selon le secteur. Les entreprises pharmaceutiques employant moins de cinquante personnes et affichant un chiffre d’affaires annuel ou un total de bilan inférieur à dix millions de francs sont exemptées — d’autres critères s’appliquent aux autres secteurs (Bratschi à propos de l’art. 12 CSV). Pour les banques, les assurances et les infrastructures des marchés financiers, l’art. 12 CSV ne prévoit aucune exemption de ce type ; elles signalent sans condition de seuil. L’auto-évaluation comporte donc deux étapes : le secteur au sens de l’art. 74b ISG, puis le seuil au sens de l’art. 12 CSV.
Pourquoi l’appréciation « nous sommes probablement hors champ » ne suffit-elle pas ? La disposition pénale elle-même apporte la réponse. L’art. 74h ISG ne sanctionne pas le retard de signalement en tant que tel, mais le fait d’ignorer les mises en demeure de l’OFCS après que celui-ci a fixé un délai à deux reprises (art. 74g ISG). C’est donc l’autorité, et non l’exploitant, qui tranche en dernier ressort la question du champ d’application. L’entreprise qui s’estime non soumise à l’obligation et que l’OFCS considère autrement le découvrira à la réception du premier délai — et l’argument « nous pensions en être exemptés » sera alors peu convaincant. S’y ajoute un point important : l’amende prévue par l’art. 74h ISG frappe la personne physique responsable.
À inscrire à l’agenda sans tarder : conduire et documenter formellement l’auto-évaluation. Confronter les activités aux neuf secteurs et aux seuils de l’art. 12 CSV, consigner le résultat — y compris un « non soumis à déclaration » dûment motivé — et, si l’obligation s’applique, s’enregistrer dans le Cyber Security Hub de l’OFCS. Demeure ouverte la question de la portée que l’OFCS donnera au catalogue à ses marges : le fournisseur SaaS qui n’est pas un opérateur cloud au sens classique, le sous-traitant intégré dans une chaîne d’approvisionnement critique. La réponse viendra de la pratique, non du texte — des premiers délais que l’OFCS fixera en application de l’art. 74g ISG contre des exploitants qui se croyaient exemptés. D’ici là, l’auto-évaluation documentée est la seule position véritablement défendable.