En mars 2024, Xplore Group AG à Bedano (Tessin) — 1 600 collaborateurs, prestataire IT pour des institutions financières suisses — a subi une attaque par ransomware qui a chiffré ses serveurs de sauvegarde pendant 72 heures. L'incident a affecté huit clients bancaires et déclenché une obligation de signalement au NCSC en vertu des nouvelles dispositions de la Loi sur la sécurité de l'information (LSI) révisée, entrée en vigueur pour les exploitants d'infrastructures critiques. La réponse a coûté 3,2 millions CHF. Le plan de reprise d'activité existait sur papier — mais les tests de restauration n'avaient pas été effectués depuis 18 mois.
NCSC (Office fédéral de la cybersécurité)
Organe fédéral suisse (anciennement MELANI) chargé de la prévention et de la gestion des cybermenaces. Il publie des recommandations pour les PME et les grandes entreprises, coordonne les signalements d'incidents, émet des alertes et maintient un programme de sensibilisation national. Depuis 2025, il centralise également les signalements obligatoires imposés par la LSI révisée aux exploitants d'infrastructures critiques.
LSI révisée — obligation de signalement (dès 2025)
La Loi fédérale sur la sécurité de l'information (LSI) révisée introduit pour les exploitants d'infrastructures critiques suisses (secteurs énergie, eau, finance, transport, santé) une obligation d'annoncer les cyberattaques significatives au NCSC dans un délai de 24 heures. L'obligation vise à améliorer la connaissance de la situation et la coordination nationale face aux menaces cyber, sans remplacer les obligations sectorielles FINMA.
La FINMA a formalisé ses attentes en matière de résilience opérationnelle numérique dans la circulaire 2023/1 «Risques opérationnels et résilience», applicable depuis janvier 2024 aux banques, assurances et gestionnaires de fortune collectifs. Elle exige des tests de continuité documentés, une gestion des risques ICT proportionnée et une gouvernance du conseil d'administration sur les risques cyber. Les entreprises non financières appliquent ces principes de manière volontaire, souvent encouragées par leurs réviseurs ASR ou par des exigences contractuelles.
| Cadre / standard | Périmètre entreprises CH | Obligation principale |
|---|---|---|
| NCSC — recommandations PME 2024 | Toutes entreprises | Bonne pratique (non contraignant) |
| LSI révisée — signalement (2025) | Opérateurs infrastructures critiques | Annonce 24h cyberincident significatif |
| FINMA circ. 2023/1 | Banques, assurances, gestionnaires | Résilience ICT, tests continuité, reporting CA |
| ISO 27001:2022 | Toutes entreprises (certification volontaire) | ISMS certifié, risk register, revue annuelle |
Suite à l'incident, Xplore Group a déployé en six mois un programme de résilience en quatre axes : (1) tests de restauration trimestriels documentés avec rapport au CA (conformité FINMA circ. 2023/1 pour les clients bancaires) ; (2) certification ISO 27001:2022 avec auditeur externe accrédité SAS ; (3) exercice de simulation de crise cyber annuel incluant les huit clients institutionnels ; (4) mise en place d'un processus de signalement NCSC formalisé avec rôles définis (CISO, juriste, communication). Le coût du programme de résilience s'élève à 420 000 CHF sur 18 mois — 13 % du coût de l'incident.
⚠️Rédiger un plan de continuité sans le tester régulièrement
→ Un plan non testé depuis plus de 12 mois n'est pas un plan — c'est un document. Les réviseurs ASR et la FINMA vérifient que les tests ont été effectués et documentés. Planifiez des tests de restauration tous les trimestres minimum.
⚠️Traiter la cybersécurité finance comme un problème exclusivement technique délégué à l'IT
→ Les principales vulnérabilités en finance sont humaines (BEC, phishing, erreurs de configuration). Le CFO doit co-piloter le programme avec le CISO — pas le déléguer intégralement à la DSI.
⚠️Méconnaître l'obligation de signalement LSI 2025 pour les fournisseurs IT d'infrastructures critiques
→ Un prestataire IT dont les clients sont des banques ou des opérateurs énergétiques peut lui-même être considéré comme exploitant d'infrastructure critique : vérifiez votre périmètre avec votre juriste avant 2025.
expert-comptable
Preguntas sugeridas