A partir du 1er janvier 2024, la Suisse appliquera la loi sur la sécurité de l'information (LSI) et ses quatre ordonnances d'exécution, comme l'a décidé le Conseil fédéral le 8 novembre 2023. La LSI consolide les bases légales essentielles pour la sécurité de l'information et des technologies de l'information, en fixant des exigences minimales basées sur des normes internationales pour les autorités fédérales et les organisations.
La LSI ne sécurise pas seulement l'infrastructure informatique de la Confédération, mais étend également la protection aux informations fédérales gérées par des tiers, des cantons et des partenaires internationaux. Pour mettre en œuvre la LSI, trois nouvelles ordonnances et une révision partielle d'une ordonnance existante seront introduites :
Ordonnance sur la sécurité de l'information (OSI): Elle remplacera deux ordonnances existantes, couvrant la gestion de la sécurité de l'information, la protection des informations classifiées, la sécurité informatique et les mesures de sécurité physique. Les bureaux fédéraux doivent mettre en œuvre un système de gestion de la sécurité de l'information (SGSI), une pratique courante dans les secteurs privé et public.
Ordonnance sur les contrôles de sécurité des personnes (OCSP): Cette mesure régit les procédures visant à évaluer si les personnes occupant des fonctions fédérales sensibles présentent un risque pour la sécurité, en fonction de leur mode de vie, de leur situation financière et de leurs relations avec l'étranger. Les contrôles seront réservés à ceux qui pourraient potentiellement causer un préjudice important à la Confédération.
Ordonnance sur les procédures de sécurité pour les entreprises (OPSEnt): Ce texte détaille les procédures d'évaluation de la fiabilité des entreprises ayant obtenu des contrats fédéraux sensibles, en remplacement d'une ordonnance axée sur les contrats militaires classifiés. Des inspections et des audits continus garantiront le respect de ces procédures.
Ordonnance sur les systèmes de gestion des données d'identification (OIAM): Il sera mis à jour pour créer un système unifié d'accès aux services fédéraux en ligne, en complément des trois nouvelles ordonnances.
Le Conseil fédéral a approuvé ces ordonnances à l'issue d'une procédure de consultation qui s'est déroulée d'août à novembre 2022. En outre, à partir du 29 septembre 2023, les exploitants d'infrastructures critiques devront signaler les cyberattaques, le National Cyber Security Center (NCSC) étant désigné comme organe central de signalement.
Pour plus d'informations, visitez le site Page officielle du Conseil fédéral.