Le reporting de cyberincident en Suisse : guide pour les particuliers et les entreprises
En Suisse, un cyberincident est signalé toutes les huit minutes environ, et la majorité de ces alertes viennent de simples particuliers. Faux SMS, comptes piratés, escroqueries à l’investissement: personne n’est à l’abri. Face à cette menace, l’Office fédéral de la cybersécurité joue un rôle de point de contact central, à la fois pour le particulier touché et pour l’entreprise visée par une attaque. Les règles ne sont toutefois pas les mêmes pour tous. Pour la plupart d’entre nous, signaler reste un geste volontaire ; pour certaines entreprises stratégiques, c’est une obligation légale assortie de délais stricts. Cet article distingue ces deux situations et explique, dans chaque cas, quand et comment signaler.
L’essentiel en bref
- Point de contact unique : l’Office fédéral de la cybersécurité (OFCS), via son formulaire en ligne.
- Particuliers : signalement volontaire, gratuit, possible de façon anonyme. Aucune obligation.
- PME et entreprises ordinaires : pas d’obligation de signaler à l’OFCS (la LSI ne les vise pas), donc signalement volontaire à ce titre. Mais toute entreprise, quelle que soit sa taille, doit annoncer au Préposé fédéral (PFPDT) une violation de données personnelles entraînant un risque élevé pour les personnes concernées (art. 24 al. 1 LPD). Cette obligation-là existe indépendamment de la LSI.
- Infrastructures critiques uniquement (banques, énergie, eau, santé hospitalière, télécoms, transports, cloud, autorités) : signalement obligatoire à l’OFCS sous 24 heures (art. 74e LSI), complément possible sous 14 jours. L’obligation LPD vers le PFPDT s’ajoute si des données personnelles sont touchées.
- Sanction : jusqu’à 100 000 CHF, mais seulement après une mise en demeure ignorée, et applicable depuis le 1er octobre 2025. Elle vise la personne physique responsable.
- Signaler ≠ porter plainte : l’OFCS n’est pas une autorité pénale. Pour une infraction, déposez plainte auprès de la police (un poste de police ou le portail Suisse ePolice pour certaines infractions en ligne).
- Données personnelles touchées : une annonce séparée au Préposé fédéral (PFPDT) peut être requise (art. 24 LPD).
Pour les particuliers : un réflexe simple et gratuit
Si vous êtes victime d’une escroquerie en ligne, d’un piratage de compte ou d’un message suspect, vous pouvez le signaler à l’Office fédéral de la cybersécurité (OFCS). Ce signalement est entièrement volontaire, gratuit, et peut même être anonyme. La loi prévoit en effet que les signalements peuvent être faits sans révéler son identité (art. 73b al. 1 LSI). À noter toutefois que laisser un moyen de contact permet à l’OFCS de revenir vers vous et de suivre votre dossier.
Le signalement se fait en ligne, en quelques minutes, via un formulaire dédié. Vous recevez immédiatement une première évaluation, générée automatiquement, qui vous oriente vers les mesures à prendre. Vous pouvez ensuite transmettre le cas à l’OFCS, où il fait l’objet d’un traitement plus approfondi par ses équipes.
Pourquoi le faire, alors que rien ne vous y oblige ? Parce que chaque signalement aide l’OFCS à repérer les nouvelles formes d’arnaques et à alerter le public avant qu’elles ne touchent davantage de personnes. Votre signalement protège donc aussi les autres. Les chiffres montrent l’ampleur du phénomène : en 2025, l’OFCS a reçu 64 733 signalements volontaires, dont 90 % émanant du public. Plus de la moitié concernaient des tentatives de fraude, et près d’un cinquième de l’hameçonnage. C’est grâce à ces annonces que les autorités ont pu identifier les tendances dominantes: faux appels d’autorités, hameçonnage de plus en plus personnalisé, et fraude par petites annonces en ligne.
Il est important de comprendre que signaler un incident à l’OFCS n’est pas la même chose que porter plainte. L’OFCS n’est pas une autorité de poursuite pénale. Si vous avez subi une infraction (escroquerie, chantage, vol de données, …), vous devez en plus déposer plainte auprès de la police : dans un poste de police ou en ligne via le portail Suisse ePolice (https://www.suisse-epolice.ch/home) pour certaines infractions. Les deux démarches sont complémentaires.
Pour les entreprises : volontaire pour la plupart, obligatoire pour certaines
C’est ici que se niche la confusion la plus fréquente : croire que toute entreprise victime d’une cyberattaque risque une amende si elle ne la signale pas. En réalité, tout dépend de la nature de votre entreprise.
La plupart des entreprises : annonce volontaire
Si vous dirigez une PME, un commerce, un cabinet ou une activité indépendante, vous n’êtes pas soumis à l’obligation de signalement de la LSI : celle-ci ne vise que les infrastructures critiques. À ce titre, l’annonce d’une cyberattaque à l’OFCS fonctionne pour vous comme pour un particulier : elle est volontaire, mais vivement encouragée.
Attention toutefois à une obligation distincte qui, elle, peut vous concerner. La loi sur la protection des données (LPD) impose à toute entreprise, quelle que soit sa taille, d’annoncer au Préposé fédéral à la protection des données et à la transparence (PFPDT) les violations de la sécurité des données entraînant un risque élevé pour les personnes concernées (art. 24 al. 1 LPD). Concrètement : si une cyberattaque expose ou compromet des données de clients, de patients ou d’employés, l’annonce au PFPDT peut être obligatoire, même pour une petite structure.
Toutes les violations ne sont pas concernées, seulement celles qui franchissent ce seuil de risque. Le « risque élevé » s’apprécie en croisant la gravité de l’atteinte possible et la probabilité qu’elle survienne. Des données sensibles (santé, situation financière, identifiants de connexion), un grand nombre de personnes touchées ou un danger d’usurpation d’identité font monter ce risque. L’annonce doit alors être faite le plus tôt possible, via le formulaire en ligne du PFPDT. Ce délai souple se distingue des 72 heures strictes du RGPD européen. Par ailleurs, lorsque c’est nécessaire à la protection des personnes touchées, l’entreprise doit aussi les informer directement de la violation, et pas seulement en avertir l’autorité.
L’intérêt du signalement volontaire à l’OFCS va, lui, au-delà du civisme. En signalant, vous pouvez bénéficier de conseils de l’OFCS et contribuer à une cartographie nationale des menaces qui finit par profiter à tous. Les cybercriminels ciblent d’ailleurs de plus en plus les structures de taille moyenne disposant de données sensibles, justement parce qu’elles sont souvent moins bien protégées que les grands groupes.
Les infrastructures critiques : obligation légale
Une catégorie d’entreprises, en revanche, a une véritable obligation légale de signaler. Depuis le 1er avril 2025, les exploitants d’infrastructures critiques doivent annoncer à l’OFCS toute cyberattaque grave, dans un délai de 24 heures suivant sa détection (art. 74e al. 1 LSI). Cette obligation a été introduite par la révision de la loi sur la sécurité de l’information (art. 73 et suivants LSI) et précisée par l’ordonnance sur la cybersécurité (OCyS), toutes deux en vigueur depuis cette date. Pour sa première année partielle d’application, 222 signalements ont été reçus à ce titre, principalement de l’administration publique, du secteur de l’information et de la communication, et des acteurs financiers.
Sont notamment concernés (liste complète à l’art. 74b LSI) : les banques, les assurances et les infrastructures des marchés financiers ; les entreprises d’approvisionnement en énergie et en eau ; les hôpitaux et certains acteurs de la santé ; les opérateurs de télécommunications ; certains transports (rail, aviation, navigation) ; les fournisseurs de services cloud établis en Suisse ; ainsi que les autorités publiques et les hautes écoles.
Toutes les organisations de ces secteurs ne sont toutefois pas assujetties. L’ordonnance exempte certaines petites structures (art. 12 OCyS) : par exemple les hautes écoles de moins de 2000 étudiants, ou, dans plusieurs branches, les organisations employant moins de 50 personnes et dont le chiffre d’affaires ou le bilan annuel ne dépasse pas 10 millions de francs dans le domaine concerné. En cas de doute sur son propre assujettissement, une organisation peut demander à l’OFCS de trancher (art. 74a al. 2 LSI).
L’obligation ne se déclenche que pour les attaques sérieuses (art. 74d LSI) : celles qui mettent en péril le fonctionnement de l’infrastructure, qui entraînent une manipulation ou une fuite de données, qui sont restées longtemps indétectées, ou qui s’accompagnent de chantage ou de menaces. Si toutes les informations ne sont pas connues dans les 24 heures, l’OFCS accorde un délai de 14 jours pour compléter le signalement (art. 16 al. 1 OCyS ; la LSI, à son art. 74e al. 3, prévoit le principe du complément, l’ordonnance en fixe le délai).
En cas de manquement, l’entreprise n’est pas sanctionnée automatiquement. L’OFCS commence par adresser un rappel et fixer un délai (art. 74g LSI). Ce n’est que si l’organisation ignore cette injonction formelle qu’une amende, pouvant atteindre 100 000 francs, peut être prononcée. Cette amende vise la personne physique responsable du signalement (art. 74h LSI). Ces sanctions sont pleinement applicables depuis le 1er octobre 2025.
Le signalement n’est pas qu’une contrainte : en annonçant une attaque, l’organisation assujettie a droit au soutien de l’OFCS dans la gestion de l’incident (art. 74 al. 3 LSI). Ce soutien, qui est facultatif, peut aller de recommandations techniques à une assistance directe lorsque le fonctionnement de l’infrastructure est en péril et qu’une aide équivalente n’est pas disponible rapidement sur le marché.
Enfin, le formulaire de l’OFCS simplifie la vie des entreprises soumises à plusieurs obligations : il permet, en cochant des cases, de transmettre simultanément l’annonce à d’autres autorités concernées, comme l’autorité de surveillance des marchés financiers ou le Préposé fédéral à la protection des données.
Le signalement, une exigence qui dépasse la Suisse
L’obligation suisse n’est pas une particularité locale. Le signalement d’incident est devenu un pilier transversal de la cybersécurité, présent aussi bien dans les lois que dans les normes professionnelles. Pour bien s’y retrouver, il faut distinguer deux familles, souvent confondues.
D’un côté, les obligations légales, qui s’imposent et dont le non-respect est sanctionné :
- en Suisse, la loi sur la sécurité de l’information (art. 73 et suivants LSI) impose le signalement à l’OFCS pour les infrastructures critiques, et la loi sur la protection des données impose à tout responsable de traitement d’annoncer au Préposé fédéral (PFPDT), dans les meilleurs délais, les violations de données entraînant vraisemblablement un risque élevé pour les personnes concernées (art. 24 al. 1 LPD) ;
- dans l’Union européenne, le RGPD exige une notification de violation de données sous 72 heures, la directive NIS2 un signalement en plusieurs temps des incidents significatifs (alerte précoce sous 24 heures, notification sous 72 heures, rapport final sous un mois) avec responsabilité personnelle des dirigeants, et le règlement DORA un reporting en trois étapes pour le secteur financier.
De l’autre, les normes volontaires, qu’une organisation adopte pour structurer sa sécurité ou se faire certifier :
- la norme ISO/IEC 27001 intègre la gestion et le signalement des incidents parmi ses contrôles, et sert souvent de socle aux autres référentiels ;
- le NIST Cybersecurity Framework 2.0 place le reporting dans sa fonction « Respond », au sein de ses six fonctions (Govern, Identify, Protect, Detect, Respond, Recover).
Un point essentiel pour une entreprise suisse : NIS2 et DORA relèvent du droit européen et ne s’appliquent pas du seul fait d’être établi en Suisse. Ils peuvent toutefois concerner une entreprise suisse active sur le marché de l’UE. Quant aux normes ISO et NIST, elles n’obligent à rien en soi : elles fournissent la méthode pour répondre proprement aux obligations légales, ce qui explique pourquoi tant d’organisations les adoptent comme colonne vertébrale de leur conformité.
En résumé
| Particuliers | PME et entreprises ordinaires | Infrastructures critiques | |
|---|---|---|---|
| Signalement à l’OFCS (LSI) | Volontaire | Volontaire | Obligatoire |
| Délai (LSI) | Aucun | Aucun | 24 heures |
| Annonce au PFPDT (LPD) | Sans objet | Obligatoire si violation de données à risque élevé | Obligatoire si violation de données à risque élevé |
| Délai (LPD) | Sans objet | Meilleurs délais | Meilleurs délais |
| Anonyme possible (signalement OFCS) | Oui | Non pertinent | Non |
| Risque d’amende | Aucun | Possible au titre de la LPD | Oui (LSI, après injonction ignorée) et LPD |
Quel que soit votre profil, le point d’entrée pour signaler à l’OFCS est le même : son formulaire en ligne. Si des données personnelles sont touchées, pensez à l’annonce distincte au PFPDT. Et dans tous les cas, si une infraction pénale est en jeu, le signalement ne remplace pas une plainte auprès de la police (poste de police ou portail Suisse ePolice).
Sources
Signalement et portail OFCS
- Portail de signalement de l’OFCS : https://www.report.ncsc.admin.ch/fr/
- Formulaire et informations sur l’obligation d’annoncer : https://www.ncsc.admin.ch/ncsc/fr/home/meldepflicht/meldepflicht-info.html
Statistiques 2025
- Rapport annuel 2025 de l’OFCS (publié le 16 février 2026), source officielle des chiffres cités (64 733 signalements volontaires, 222 signalements au titre de l’obligation) : https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/im-fokus/2026/jahresbericht.html
Cadre juridique suisse
- Loi fédérale sur la sécurité de l’information (LSI, RS 128 ; révision RO 2024 257) : https://www.fedlex.admin.ch/eli/oc/2024/257/fr
- Ordonnance sur la cybersécurité (OCyS, RS 128.51), notamment art. 16 (délai de 14 jours) : https://www.fedlex.admin.ch/eli/cc/2025/169/fr
- Obligation d’annoncer une violation de données (art. 24 LPD), guide officiel du PFPDT : https://www.edoeb.admin.ch/fr/guide-data-breach
- Transmission simultanée à d’autres autorités via le formulaire OFCS : https://www.ictjournal.ch/news/2025-03-10/lobligation-de-signaler-les-cyberattaques-contre-les-infrastructures-critiques
Cadres internationaux cités
- RGPD, directive NIS2 et règlement DORA (Union européenne)
- Normes ISO/IEC 27001 et NIST Cybersecurity Framework 2.0
Liens vérifiés à la date de rédaction. Le contenu du portail OFCS et le formulaire peuvent évoluer ; vérifier la version en vigueur avant toute démarche officielle.