Auteur : inside-it.ch Source : inside-it.ch

Résumé exécutif

La Cour des comptes fédérale (ECF) a identifié dans son examen de la sécurité TIC au Secrétariat d'État à la sécurité politique (Sepos) des défauts importants dans la cyberprotection de la Confédération. La nouvelle structure organisationnelle de la sécurité de l'information est établie, mais présente encore des lacunes importantes en matière de stabilisation. Particulièrement critiques sont les lacunes de coordination entre l'État-major thématique Sécurité de l'information (EM SIS) et l'Office fédéral de la cybersécurité (Ofcs) concernant les prescriptions, les processus et la notification des incidents de cybersécurité.

Personnes

  • Dajana Dakic (Autrice)

Thèmes

  • Cybersécurité
  • Sécurité confédérale
  • Développement organisationnel
  • Infrastructure TIC

Lead Clarus

L'architecture de sécurité de la Confédération est sous pression malgré les mesures de réorganisation. L'examen de l'ECF révèle que les interfaces critiques entre les autorités fédérales de sécurité ne fonctionnent pas de manière optimale – un risque à une époque où les cyberattaques contre les infrastructures étatiques augmentent et où les mesures de défense coordonnées sont essentielles. Les lacunes dans les processus de notification et les normes contraignantes indiquent un problème structurel de gouvernance qui exige une correction rapide.

Résumé détaillé

L'examen de l'ECF se concentre sur l'accomplissement des tâches dans le domaine de la sécurité TIC au Sepos et évalue la nouvelle structure organisationnelle comme établie, mais non entièrement consolidée. Les faiblesses centrales résident dans la coordination entre l'État-major thématique Sécurité de l'information (EM SIS) et l'Office fédéral de la cybersécurité (Ofcs).

Trois domaines problématiques ont été identifiés : Premièrement, il manque des prescriptions et normes uniformes qui lient les deux autorités de manière juridiquement sûre. Deuxièmement, les processus d'escalade et de traitement des incidents de sécurité ne sont pas suffisamment définis. Troisièmement, il existe des lacunes dans les obligations de notification pour les incidents de cybersécurité, ce qui représente un point aveugle critique en matière de reconnaissance de la situation. Ces lacunes de coordination menacent la cohérence de la défense confédérale et compliquent une réaction uniforme aux menaces.

Messages clés

  • Défauts organisationnels : La structure de sécurité nouvellement établie de la Confédération n'est pas encore entièrement stabilisée
  • Lacunes de coordination : Lacunes entre l'EM SIS et l'Ofcs concernant les normes, les processus et les notifications
  • Besoin d'action : Mesures urgentes requises pour harmoniser les prescriptions et les procédures d'escalade

Autres informations

  • Attaque Fortibleed : Campagne de pirates informatiques compromet 74 000 pare-feu Fortinet dans le monde ; les chercheurs en sécurité parlent d'une ampleur « alarmante » de la divulgation des identifiants d'accès
  • Successeur de Polycom : Avant-projet pour nouvelle solution de communication sécurisée démarre ; doit créer les bases techniques et financières
  • Centre des opérations de sécurité BVZ : Prestataire valaisan de services de transport et de tourisme établit un SOC

Questions critiques

  1. Preuve : Quels incidents de cybersécurité concrets ou violations de sécurité l'ECF a-t-elle documentés pour justifier sa critique des processus de notification ?

  2. Qualité des données : Dans quelle mesure les documents de gouvernance analysés par l'ECF (documentations de processus, directives, protocoles d'escalade) sont-ils complets et couvrent-ils l'ensemble du paysage confédéral ?

  3. Conflits d'intérêts : L'EM SIS et l'Ofcs ont-ils des priorités opérationnelles ou des intérêts budgétaires différents qui expliquent le manque de coordination ?

  4. Causalité : Les lacunes identifiées sont-elles le résultat de ressources insuffisantes, de prescriptions managériales inadéquates ou de chevauchements de compétences structurels ?

  5. Faisabilité : Quels délais l'ECF a-t-elle fixés pour remédier à ces défauts, et comment les progrès seront-ils mesurés ?

  6. Comparaison : Comment la Suisse se classe-t-elle dans cette évaluation par rapport à d'autres États fédéraux (DE, AT) ?

  7. Évaluation des risques : L'ECF a-t-elle effectué une analyse des risques qui quantifie les dommages causés par ces lacunes de coordination ?

Répertoire des sources

Source primaire : L'EFK critique les lacunes de la cyberprotection de la Confédération – Inside IT, 18 juin 2026

Statut de vérification : ✓ 18 juin 2026

Ce texte a été créé avec l'aide d'un modèle d'IA. Responsabilité éditoriale : clarus.news | Vérification des faits : 18 juin 2026