Pour la première fois, des données sont fournies sur la nouvelle obligation de notification des cyberattaques contre les infrastructures critiques.
L'année dernière, près de 63'000 cyberincidents ont été signalés à l'Office fédéral de la cybersécurité (OFCS) en Suisse. Cela correspond à une augmentation de 13'500 déclarations par rapport à l'année précédente. De juillet à décembre, l'OFCS a enregistré plus de 28'000 incidents. Un peu moins qu'au premier semestre 2024.
Les cas de fraude, de hammeçonnage (phishing) et de pourriel (spam) restent les plus fréquemment signalés. L'augmentation par rapport à l'année précédente repose principalement sur le phénomène des faux appels au nom des autorités, avec près de 22'000 signalements contre environ 7000 l'année précédente.
En revanche, les menaces par courriel ont diminué. Depuis quatre ans, les escrocs ont tendance à utiliser de plus en plus le téléphone comme canal de communication.
En ce qui concerne les «jeux-concours frauduleux», l'OFCS a même observé un triplement du nombre de messages reçus au cours du deuxième semestre 2024 (environ 2400 nouveaux messages). Dans de nombreux cas, les noms d'entreprises alimentaires et de commerce de détail, de commerçants en électronique ou d'entreprises de transports connus en Suisse ont été utilisés de manière abusive.
Des escrocs proposent un faux support
Près de 90% des messages provenaient soi-disant du secteur public, le reste des entreprises. Ces dernières ont été fortement confrontées au phénomène de la «fraude au PDG». Il s'agit de demandes de paiement prétendument urgentes de la part du chef ou de la présidente.
En 2024, les communes et les églises ont été excessivement touchées par ce phénomène. Les appels téléphoniques de prétendus employés de banque ou le collage de codes QR sur les parcmètres font également partie des schémas d'escroquerie actuels. Outre les e-mails ou SMS classiques, les escrocs utilisent également les iMessage pour contourner les filtres SMS des grands fournisseurs d'accès.
Une autre méthode consiste à inonder les messageries de spams, a expliqué le directeur de l'OFCS Florian Schütz mardi devant les médias. Ensuite, un support technique est proposé via des plateformes de communication sur Internet, grâce auxquelles les victimes peuvent télécharger des logiciels malveillants, ce qui permet aux criminels d'accéder à l'environnement informatique souhaité.
Attaques contre des infrastructures critiques
Depuis le 1er avril 2025, les cyberattaques contre les infrastructures critiques sont soumises à une obligation de notification. Les exploitants d'infrastructures critiques telles que l'approvisionnement en énergie ou en eau potable, les entreprises de transports ainsi que les administrations cantonales et communales doivent signaler les cas à l'OFCS dans les 24 heures pour certaines cyberattaques.
Si ce n'est pas le cas, des sanctions pouvant aller jusqu'à 100'000 francs sont prévues. Celles-ci n'entreront toutefois en vigueur qu'à partir du 1er octobre 2025.
L'obligation d'annoncer existe pour mieux comprendre où se situent les problèmes et quelles technologies sont nécessaires pour maîtriser les attaques, selon Florian Schütz. Si les cyberattaques sont contrées, il n'est pas nécessaire de les signaler, car il n'y a jamais eu de véritable menace.
Au cours du premier mois depuis son lancement, l'OFCS a enregistré 25 notifications. Quatre d'entre elles ont fourni des indications sur la manière dont le piratage a eu lieu et deux ont bénéficié du soutien de la Confédération. "Nous nous attendons à ce que le nombre de signalements augmente", a encore relevé le directeur de l'OFCS. (awp/hzi/ps)