#27 Loi sur la sécurité de l’information : des règles uniformes pour la protection des informations publiques

Champ d’application de la LSI – Principaux objectifs et nouveautés

La loi sur la sécurité de l’information (LSI) poursuit en priorité les trois objectifs suivants :

1. mise en place de normes minimales en matière de sécurité de l’information qui soient applicables de manière uniforme à l’échelle fédérale ;
2. définition de compétences et de processus clairs en vue de la protection des informations et des systèmes ;
3. cohérence des mesures de protection physique ainsi que des mesures relatives à l’organisation, aux moyens techniques et aux personnes.

En application de la LSI, les autorités sont tenues de planifier le déploiement d’un système garantissant la protection de leurs informations et de leurs moyens informatiques et d’en assurer la mise en œuvre et le suivi régulier. Elles se fondent à cet effet sur une approche orientée vers les risques : les informations et les systèmes sont classés en fonction du niveau de protection qu’ils requièrent, et leur classement sert ensuite de base à la définition des exigences de sécurité pertinentes.

Cette définition incombe aux échelons de conduite des autorités, qui doivent garantir l’identification et l’évaluation des risques ainsi que la maîtrise de ces derniers au moyen des mesures qui s’imposent. La LSI régit en outre les modalités de classification des informations, de surveillance des activités sensibles et d’attribution de mandats sensibles à des tiers. Elle s’applique à l’ensemble des autorités fédérales ainsi qu’aux organisations et entreprises exécutant un mandat pour le compte de la Confédération ou ayant accès aux moyens informatiques de cette dernière.

Elle s’applique également aux cantons, mais à titre subsidiaire. Cela signifie que les cantons doivent respecter les exigences de sécurité fédérales ou garantir un niveau de protection équivalent lorsqu’ils traitent des informations classifiées de la Confédération ou qu’ils accèdent aux infrastructures de cette dernière.

Aperçu des dispositions d’exécution et de leurs modalités d’application

Pour garantir l’application en bonne et due forme de la LSI, le Conseil fédéral a édicté quatre ordonnances, qui précisent les principes généraux de la loi et harmonisent l’exécution du droit.

1. Ordonnance sur la sécurité de l’information (OSI)
   Élément central du dispositif d’exécution, l’OSI assujettit l’ensemble des services fédéraux à l’obligation de déployer un système de management de la sécurité de l’information. Ce système fixe les modalités de planification, de mise en œuvre, de contrôle et d’amélioration de la sécurité de l’information. Il est conforme aux normes internationales (par ex. ISO/IEC 27001 et 27002).
   L’OSI régit en outre la classification des informations, la protection des moyens informatiques et les exigences relatives à la protection physique et à la sécurité des personnes, ainsi que les contrôles et les audits.
2. Ordonnance sur les contrôles de sécurité relatifs aux personnes (OCSP)
   L’OCSP définit les modalités de surveillance des personnes exerçant des activités sensibles, précisant à cet égard que des données peuvent être collectées seulement si elles sont pertinentes pour la sécurité. Les contrôles sont limités aux fonctions qui comportent un risque élevé en matière de sécurité de l’information.
3. Ordonnance sur la procédure de sécurité relative aux entreprises (OPSEnt)
   L’OPSEnt s’applique aux entreprises qui exécutent des mandats sensibles pour le compte de la Confédération. Elle détermine les modalités du contrôle portant sur la fiabilité des entreprises concernées, afin d’exclure tout influence étrangère ou tout risque de sécurité. Des audits et des inspections peuvent être réalisés sans préavis pendant la période d’exécution d’un mandat.
4. Modification de l’ordonnance sur les systèmes de gestion des données d’identification et les services d’annuaires de la Confédération (OIAM)
   La modification proposée crée les dispositions qui permettent de déployer des services électroniques d’authentification et d’identification uniformes à l’échelle fédérale. Elle favorise la sécurité et la standardisation des tâches des administrations publiques liées à la gestion des droits d’accès.

Pourquoi la Suisse a-t-elle besoin d’une loi sur la sécurité de l’information ? – Contexte, état de la cybermenace et genèse

La sécurité de l’information des autorités fédérales a longtemps été régie par des lois et directives disparates. Ses éléments constitutifs, à savoir la protection des données et des informations classifiées, la sécurité informatique et la gestion des risques, obéissaient à des règles incohérentes qui ont contribué à l’apparition de lacunes ou de redondances, ou encore à la définition de niveaux de sécurité différents d’un service fédéral à l’autre.

Ayant identifié assez tôt le problème lié à la sécurité de l’information, le Conseil fédéral a établi plusieurs mandats d’amélioration pour la période allant de 2009 à 2015. Divers organes parlementaires chargés de la surveillance ont également recommandé à ce moment-là d’harmoniser les bases juridiques. Se fondant sur ses propres constats et sur les recommandations de ces organes, le Conseil fédéral a élaboré un projet de LSI, qu’il a soumis au Parlement le 19 avril 2017.

Le projet portait sur la création d’un cadre juridique uniforme qui intégrerait tous les objets de la sécurité de l’information (organisation, moyens techniques, personnes et objets physiques) et serait aligné sur les normes internationales.

Les délibérations parlementaires ont duré plusieurs années et ont été interrompues de l’été 2018 à l’été 2020, avant que le Conseil national ne reprenne l’examen du projet lors de la session d’été 2020. Les principaux points de discussion ont été la charge administrative, les coûts et l’utilisation du numéro AVS comme facteur d’identification.

Le Parlement a fini par adopter le projet de LSI le 18 décembre 2020. Le délai référendaire ayant expiré sans avoir été utilisé, le Conseil fédéral a fixé l’entrée en vigueur de la nouvelle loi en deux étapes. L’art. 87 LSI, qui habilite le Conseil fédéral à conclure des traités internationaux en matière de sécurité de l’information, a pris effet dès le 1^er mai 2022, tandis que les autres dispositions sont entrées en vigueur le 1^er janvier 2024.

Obligation de signaler les cyberattaques – Genèse, signification et bilan des premiers cas d’application

Lorsqu’il a entamé l’examen du projet de LSI en 2020, le Parlement s’est penché sur l’obligation de signaler les cyberattaques visant des infrastructures critiques, mais a rejeté son introduction dans la loi. Compte tenu de l’accroissement des menaces, le Conseil fédéral s’est ressaisi de la question et a mis en consultation une révision de la LSI le 12 janvier 2022. Les milieux économiques et scientifiques ainsi que les cantons ont accepté le principe de cette obligation.

Le 2 décembre 2022, le Conseil fédéral a approuvé le message concernant la modification de la LSI et l’a transmis au Parlement, qui a adopté la révision le 29 septembre 2023. Le 7 mars 2025, le Conseil fédéral a prononcé l’entrée en vigueur échelonnée des modifications. Les dispositions relatives à l’obligation de signaler ont ainsi pris effet le 1^er avril 2025, et celles qui régissent les sanctions (art. 74g et 74h), le 1^er octobre 2025.

Depuis avril 2025, les exploitants d’infrastructures critiques ont 24 heures pour signaler les cyberattaques de grande ampleur à l’Office fédéral de la cybersécurité (OFCS). Celui-ci analyse les incidents, soutient les exploitants concernés et partage des informations avec d’autres services afin de prévenir des dommages indirects.

Durant les six premiers mois de son activité, l’OFCS a reçu 164 signalements, dont près de la moitié concernait des attaques par déni de service ou par rançongiciel, ou encore des cas de piratage. Depuis octobre 2025, la LSI prévoit aussi la possibilité de prononcer des sanctions. Ainsi, les exploitants qui ne respectent pas l’obligation de signaler encourent une amende pouvant atteindre 100 000 francs. Cette réglementation poursuit trois buts principaux, à savoir exécuter un recensement centralisé des cyberattaques, identifier le mode opératoire des auteurs et, partant, accroître la résilience du pays.