Les administrations cantonales suisses évoluent aujourd’hui dans un environnement numérique de plus en plus complexe et exposé aux cybermenaces. Le Bundesamt für Cybersicherheit (BACS, anciennement NCSC) collecte et traite quotidiennement les signalements d’incidents de cybersécurité provenant de la population et des entreprises suisses, témoignant de l’ampleur croissante de ces défis.

La transformation numérique accélérée des services publics, amplifiée par les besoins d’accessibilité citoyenne et l’optimisation des processus administratifs, expose les administrations cantonales à de nouveaux risques. Portails en ligne, bases de données citoyens, systèmes de gestion documentaire, infrastructures de communication : chaque composant numérique représente une surface d’attaque potentielle.

La fin d’année 2025 et l’approche de 2026 marquent un moment charnière avec l’évolution constante des techniques d’attaque. Ransomwares, phishing ciblé, compromission d’emails, attaques par déni de service : les cybercriminels adaptent continuellement leurs méthodes pour contourner les défenses traditionnelles.

Face à ces enjeux, les responsables IT et les dirigeants des administrations cantonales ont besoin d’une approche méthodique et structurée.

Les experts de TEAM PARTNERS vous proposent une checklist opérationnelle complète, adaptée au contexte spécifique des administrations suisses, intégrant les obligations légales nationales et les bonnes pratiques reconnues pour sécuriser efficacement les infrastructures publiques.

État des lieux de la cybersécurité en Suisse, principalement dans les administrations

Panorama des menaces actuelles

Les administrations cantonales suisses font face à un spectre de cybermenaces en constante évolution. Selon les données du BACS, les principales catégories d’incidents signalés incluent les tentatives de phishing, les logiciels malveillants, les ransomwares et les attaques par déni de service. Ces menaces ciblent particulièrement les infrastructures critiques du secteur public : systèmes de gestion des citoyens, portails de services en ligne, et bases de données administratives.

Les cybercriminels exploitent plusieurs vecteurs d’attaque spécifiques au contexte administratif : emails de spear-phishing imitant des communications officielles, compromission de comptes privilégiés, exploitation de vulnérabilités dans les applications web publiques, et attaques sur les systèmes de sauvegarde. La sophistication croissante de ces attaques nécessite une vigilance accrue de la part des équipes IT cantonales.

Vulnérabilités récurrentes identifiées

L’analyse des incidents de sécurité dans le secteur public suisse révèle plusieurs vulnérabilités récurrentes. Les systèmes legacy, encore largement utilisés dans certaines administrations, présentent des failles de sécurité non corrigées. La gestion des accès privilégiés reste souvent insuffisante, avec des comptes administrateurs partagés ou des mots de passe faibles.

La sensibilisation du personnel constitue également un défi majeur. Les employés administratifs, non spécialistes en cybersécurité, peuvent involontairement compromettre la sécurité par des actions apparemment anodines : ouverture de pièces jointes suspectes, utilisation de mots de passe faibles, ou connexion à des réseaux Wi-Fi non sécurisés lors du télétravail.

Impact économique et opérationnel

Les conséquences d’un incident de cybersécurité dans une administration cantonale dépassent largement les aspects techniques. L’interruption des services aux citoyens peut paralyser des processus administratifs essentiels : délivrance de documents officiels, gestion des prestations sociales, ou traitement des demandes de permis. Ces dysfonctionnements génèrent non seulement des coûts directs de remédiation, mais aussi une perte de confiance des citoyens envers les services publics numériques.

Les coûts de récupération incluent la restauration des systèmes, la reconstitution des données, la communication de crise, et parfois le recours à des prestataires externes spécialisés. À cela s’ajoutent les coûts indirects : productivité réduite des équipes, retards dans les projets, et nécessité de renforcer les mesures de sécurité a posteriori.

 

Cadre réglementaire et obligations légales en matière de cybersécurité en Suisse

La nouvelle loi fédérale sur la protection des données (nLPD)

Entrée en vigueur le 1er septembre 2023, la nouvelle loi fédérale sur la protection des données (nLPD) renforce considérablement les obligations des administrations cantonales en matière de sécurité informatique. Cette révision législative majeure impose des mesures de sécurité techniques et organisationnelles appropriées pour protéger les données personnelles contre tout traitement non autorisé.

Les administrations cantonales doivent désormais documenter leurs traitements de données, effectuer des analyses d’impact sur la protection des données (AIPD) pour les traitements à haut risque, et notifier les violations de données au Préposé fédéral à la protection des données et à la transparence (PFPDT) dans les 72 heures. Ces obligations s’accompagnent de sanctions financières pouvant atteindre 250’000 francs en cas de non-conformité.

Directives du Bundesamt für Cybersicherheit (BACS)

Le BACS, en tant qu’autorité nationale de cybersécurité, émet régulièrement des directives et recommandations destinées aux administrations publiques. Ces documents techniques couvrent les bonnes pratiques en matière de sécurité informatique, les procédures de signalement d’incidents, et les mesures préventives à mettre en œuvre.

Les administrations cantonales sont encouragées à suivre les recommandations du BACS, notamment en matière de gestion des vulnérabilités, de sécurisation des infrastructures critiques, et de sensibilisation du personnel. Le BACS propose également des formations spécialisées et un service de conseil pour accompagner les entités publiques dans leur démarche de sécurisation.

Responsabilités spécifiques des administrations cantonales

Au niveau cantonal, chaque administration doit définir une politique de sécurité informatique adaptée à son contexte organisationnel. Cette politique doit couvrir la gestion des accès, la protection des données sensibles, les procédures de sauvegarde, et la réponse aux incidents de sécurité. La nomination d’un responsable de la sécurité des systèmes d’information (RSSI) ou d’un délégué à la protection des données devient une nécessité opérationnelle.

Les administrations cantonales doivent également s’assurer de la conformité de leurs prestataires externes et sous-traitants. Les contrats de service doivent intégrer des clauses de sécurité spécifiques, des audits de conformité réguliers, et des procédures de notification d’incidents. Cette vigilance s’étend aux solutions cloud, de plus en plus utilisées pour moderniser les infrastructures publiques.

Cybersécurité en Suisse : checklist technique infrastructure et systèmes

Audit de sécurité des systèmes d’information

• Inventaire exhaustif des actifs informatiques

Réalisez un recensement complet de tous les équipements, logiciels, bases de données et services en ligne de votre administration. Cet inventaire doit inclure les versions, les dates de mise à jour, et le niveau de criticité de chaque composant. Utilisez des outils automatisés de découverte réseau pour identifier les équipements non déclarés ou « fantômes ».

• Tests de pénétration réguliers

Planifiez des tests d’intrusion trimestriels sur vos infrastructures critiques, réalisés par des prestataires certifiés. Ces audits doivent couvrir les applications web publiques, les systèmes de messagerie, et les accès VPN. Documentez les vulnérabilités identifiées et établissez un plan de remédiation priorisé selon le niveau de risque.

• Évaluation des configurations de sécurité

Vérifiez que vos serveurs, pare-feux, et équipements réseau respectent les standards de sécurité reconnus (CIS Controls, NIST Framework). Désactivez les services inutiles, modifiez les mots de passe par défaut, et activez les journaux de sécurité sur tous les équipements critiques.

Mise à jour et gestion des correctifs de sécurité

• Politique de gestion des correctifs

Établissez une procédure formalisée pour le déploiement des mises à jour de sécurité. Définissez des fenêtres de maintenance régulières, testez les correctifs sur un environnement de pré-production, et documentez chaque intervention. Priorisez les correctifs critiques avec un déploiement sous 72 heures maximum.

• Automatisation des mises à jour

Implémentez des solutions de gestion centralisée des correctifs (WSUS, SCCM, ou équivalents) pour automatiser le déploiement sur les postes de travail et serveurs non critiques. Maintenez une liste d’exception pour les systèmes legacy nécessitant une validation manuelle.

• Surveillance des vulnérabilités

Abonnez-vous aux alertes de sécurité des éditeurs de vos logiciels principaux et aux bulletins du BACS. Utilisez des outils de scan de vulnérabilités pour identifier proactivement les failles de sécurité avant qu’elles ne soient exploitées.

Segmentation réseau et contrôles d’accès

• Architecture réseau segmentée

Séparez vos réseaux en zones de sécurité distinctes : réseau administratif, réseau public, zone DMZ pour les services web. Implémentez des pare-feux internes pour contrôler les flux entre segments et appliquez le principe du moindre privilège pour les communications inter-zones.

• Authentification multi-facteurs (MFA)

Déployez l’authentification à deux facteurs sur tous les comptes administrateurs et les accès distants. Privilégiez les solutions basées sur des applications mobiles ou des tokens matériels plutôt que les SMS. Étendez progressivement le MFA aux utilisateurs standard pour les applications critiques.

• Gestion centralisée des identités

Implémentez une solution de gestion des identités et des accès (IAM) pour centraliser l’administration des comptes utilisateurs. Automatisez la création et suppression des comptes lors des arrivées/départs, et révisez trimestriellement les droits d’accès pour éliminer les privilèges obsolètes.

Sauvegarde et plan de continuité d’activité

• Stratégie de sauvegarde 3-2-1

Appliquez la règle 3-2-1 : 3 copies de vos données critiques, sur 2 supports différents, avec 1 copie hors site. Testez mensuellement la restauration de vos sauvegardes et documentez les temps de récupération (RTO) et points de récupération (RPO) pour chaque système critique.

• Plan de continuité informatique

Rédigez un plan de continuité détaillé incluant les procédures de basculement, les contacts d’urgence, et les seuils de déclenchement. Organisez des exercices de simulation annuels pour valider l’efficacité du plan et former les équipes aux procédures d’urgence.

• Protection contre les ransomwares

Isolez vos sauvegardes du réseau principal, utilisez des solutions de sauvegarde immutable, et implémentez une détection comportementale pour identifier les activités de chiffrement malveillant. Préparez des procédures spécifiques de réponse aux incidents ransomware.

Cybersécurité en Suisse : checklist organisationnelle, gouvernance et processus

Politique de sécurité informatique adaptée au contexte cantonal

• Rédaction d’une charte de sécurité informatique

Élaborez un document de référence définissant les règles d’usage des systèmes informatiques, les responsabilités de chaque acteur, et les sanctions en cas de non-respect. Cette charte doit être adaptée aux spécificités de votre administration cantonale et validée par la direction générale. Prévoyez une révision annuelle pour intégrer les évolutions technologiques et réglementaires.

• Nomination d’un responsable sécurité (RSSI)

Désignez un responsable de la sécurité des systèmes d’information, même à temps partiel pour les petites administrations. Ce référent doit avoir une vision transversale des enjeux, des compétences techniques actualisées, et un accès direct à la direction. Définissez clairement son périmètre d’action et ses moyens d’intervention.

• Comité de pilotage sécurité

Créez une instance de gouvernance réunissant les représentants des différents services, le RSSI, et un membre de la direction. Ce comité se réunit trimestriellement pour valider les orientations sécuritaires, arbitrer les investissements, et suivre l’avancement des projets de sécurisation.

Formation et sensibilisation du personnel administratif

• Programme de sensibilisation obligatoire

Organisez des sessions de formation annuelles pour tous les collaborateurs, adaptées à leur niveau d’exposition aux risques cyber. Couvrez les thématiques essentielles : reconnaissance du phishing, gestion des mots de passe, sécurité du télétravail, et procédures de signalement d’incidents. Utilisez des exemples concrets et des cas d’usage spécifiques au secteur public.

• Tests de phishing simulés

Mettez en place des campagnes de phishing simulé trimestrielles pour évaluer le niveau de vigilance de vos collaborateurs. Analysez les résultats par service et proposez des formations complémentaires ciblées pour les utilisateurs les plus vulnérables. Transformez ces tests en opportunités d’apprentissage plutôt qu’en sanctions.

• Formation spécialisée pour les administrateurs

Organisez des formations techniques avancées pour vos équipes IT : gestion des incidents, investigation numérique, sécurisation des infrastructures cloud. Encouragez l’obtention de certifications professionnelles (CISSP, CISM, GIAC) et participez aux conférences sectorielles pour maintenir les compétences à jour.

Gestion des incidents de sécurité et procédures d’escalade

• Procédure de réponse aux incidents

Formalisez un processus de gestion des incidents de sécurité avec des niveaux d’escalade clairs. Définissez les critères de classification (incident mineur, majeur, critique), les délais de réponse, et les responsabilités de chaque intervenant. Intégrez les obligations de notification au BACS et au PFPDT selon la nature de l’incident.

• Équipe de réponse aux incidents (CERT interne)

Constituez une équipe pluridisciplinaire capable d’intervenir 24h/7j en cas d’incident critique. Cette équipe doit inclure des compétences techniques (analyse forensique ou investigation numérique, administration système), juridiques (conformité réglementaire), et communicationnelles (gestion de crise). Prévoyez des astreintes et des procédures de rappel du personnel.

• Documentation et retour d’expérience

Documentez systématiquement chaque incident : chronologie, actions entreprises, impact, coûts de remédiation. Organisez des débriefings post-incident pour identifier les améliorations possibles et mettre à jour vos procédures. Partagez les enseignements avec les autres administrations cantonales dans le cadre de la coopération intercantonale.

Évaluation des prestataires et sous-traitants

• Due diligence sécuritaire des fournisseurs

Intégrez des critères de cybersécurité dans vos appels d’offres et processus de sélection des prestataires. Exigez des certifications reconnues (ISO 27001, SOC 2), des références dans le secteur public, et la présentation de leurs mesures de sécurité. Évaluez particulièrement les prestataires ayant accès à vos données sensibles ou systèmes critiques.

• Clauses contractuelles de sécurité

Incluez dans vos contrats des clauses spécifiques : obligation de notification d’incident sous 24h, droit d’audit de sécurité, localisation des données en Suisse, procédures de fin de contrat avec effacement sécurisé des données. Prévoyez des pénalités financières en cas de manquement aux obligations de sécurité.

• Audits de conformité réguliers

Planifiez des audits annuels de vos prestataires critiques, soit par vos équipes internes, soit par des auditeurs externes indépendants. Vérifiez la mise en œuvre effective des mesures de sécurité contractuelles, la gestion des accès à vos données, et la conformité aux réglementations suisses. Documentez les écarts identifiés et suivez les plans d’action corrective.

Technologies émergentes et défis actuels

Intelligence artificielle et automatisation des menaces

L’intelligence artificielle transforme radicalement le paysage de la cybersécurité, créant de nouvelles opportunités mais aussi de nouveaux risques pour les administrations cantonales. Les cybercriminels exploitent désormais l’IA pour automatiser leurs attaques, générer des emails de phishing ultra-personnalisés, et contourner les systèmes de détection traditionnels.

Deepfakes et ingénierie sociale avancée

Les technologies de synthèse vocale et vidéo permettent aux attaquants de créer de fausses identités numériques particulièrement convaincantes. Une administration cantonale peut recevoir un appel téléphonique utilisant la voix clonée d’un élu ou d’un responsable hiérarchique pour obtenir des accès privilégiés ou déclencher des virements frauduleux.

Réponse recommandée : Implémentez des procédures de vérification multi-canaux pour toute demande sensible, même provenant apparemment d’une autorité reconnue. Formez vos équipes à reconnaître les signaux d’alerte et établissez des protocoles de confirmation par des moyens alternatifs.

Télétravail hybride et sécurisation des accès distants

La généralisation du télétravail hybride dans les administrations cantonales multiplie les points d’accès aux systèmes informatiques. Les collaborateurs utilisent leurs équipements personnels, se connectent depuis des réseaux domestiques non sécurisés, et stockent parfois des données professionnelles sur des services cloud personnels.

• Enjeux de sécurité du télétravail

Les risques incluent l’interception de communications sur des réseaux Wi-Fi publics, l’utilisation d’équipements non mis à jour, et la difficulté à maintenir une supervision technique à distance. Les frontières entre vie professionnelle et personnelle s’estompent, créant des vulnérabilités dans la gestion des données sensibles.

Solutions à déployer : Généralisez l’usage de VPN sécurisés avec authentification forte, déployez des solutions de gestion des appareils mobiles (MDM), et créez des espaces de travail virtuels isolés. Établissez une charte du télétravail précisant les bonnes pratiques de sécurité à domicile.

Migration vers le cloud public : enjeux de souveraineté

Les administrations cantonales suisses accélèrent leur migration vers des solutions cloud pour moderniser leurs infrastructures et réduire leurs coûts opérationnels. Cette transformation soulève des questions cruciales de souveraineté numérique et de conformité réglementaire, particulièrement avec la nLPD.

• Défis de localisation des données

Le stockage de données administratives sur des infrastructures cloud situées à l’étranger peut entrer en conflit avec les exigences de protection des données suisses. Les contrats avec les fournisseurs cloud doivent garantir la localisation des données, l’absence d’accès par des autorités étrangères, et la portabilité en cas de changement de prestataire.

Approche recommandée : Privilégiez les solutions de cloud souverain ou les datacenters suisses certifiés. Négociez des clauses contractuelles spécifiques sur la localisation des données, l’audit de sécurité, et les procédures de notification d’incident. Évaluez régulièrement la conformité de vos prestataires cloud aux réglementations suisses.

Internet des objets (IoT) dans l’administration publique

L’Internet des objets s’implante progressivement dans les administrations cantonales : capteurs de qualité de l’air, systèmes de gestion énergétique des bâtiments, bornes d’information interactive, dispositifs de comptage intelligent. Ces équipements connectés élargissent considérablement la surface d’attaque des infrastructures publiques.

• Vulnérabilités spécifiques à l’IoT

Les objets connectés présentent souvent des failles de sécurité majeures : mots de passe par défaut non modifiables, absence de chiffrement des communications, impossibilité de mise à jour du firmware. Un capteur compromis peut servir de point d’entrée pour accéder au réseau administratif principal.

Mesures de protection : Créez un réseau IoT isolé du réseau administratif, changez systématiquement les identifiants par défaut, et maintenez un inventaire précis de tous les objets connectés. Établissez une politique de cycle de vie pour le renouvellement des équipements IoT obsolètes et non patchables.

La cybersécurité des administrations cantonales suisses représente un enjeu stratégique majeur qui dépasse largement les considérations purement techniques. Cette checklist opérationnelle souligne l’importance d’une approche globale, combinant mesures techniques robustes, gouvernance organisationnelle structurée, et adaptation aux évolutions technologiques émergentes.

L’application rigoureuse de ces recommandations permettra aux administrations cantonales de renforcer significativement leur posture de sécurité. L’audit régulier des infrastructures, la mise en œuvre de politiques de sécurité adaptées, et la sensibilisation continue du personnel constituent les piliers d’une stratégie de cyberdéfense efficace.

Les défis technologiques actuels nécessitent une vigilance accrue et une adaptation constante des mesures de protection. Les administrations cantonales qui anticipent ces évolutions et investissent dans leur sécurité informatique aujourd’hui seront mieux armées pour faire face aux cybermenaces de demain.

La cybersécurité est une nécessité absolue pour maintenir la confiance des citoyens envers les services publics numériques. Chaque administration cantonale doit considérer cette checklist comme un point de départ vers une démarche d’amélioration continue, adaptée à ses spécificités organisationnelles et à son niveau de maturité technologique.

Pour les administrations cantonales souhaitant un accompagnement personnalisé dans leur démarche de sécurisation, Team Partners est à vos côtés : audit d’infrastructures, implémentation de solutions de sécurité adaptées, formation de vos équipes aux enjeux de la cybersécurité publique.