Réagir à une cyberattaque
Lors d’une cyberattaque, chaque minute compte. Il est crucial de garder son sang-froid et d’agir méthodiquement pour limiter les dégâts. Le Canton de Vaud met à votre disposition :
- Des ressources pratiques pour appréhender les premières mesures d'urgence
- Des modèles de communication pour informer rapidement les parties concernées (collaborateurs, clients, partenaires)
- Des contacts utiles pour signaler l’attaque aux autorités compétentes ou obtenir un soutien technique
En vous préparant en amont et en adoptant les bons réflexes, vous renforcez vos défenses et protégez durablement votre environnement numérique.
1. Comment réagir à une cyberattaque ?
Fiches réflexes en cas de cyberattaque
Des supports variés pour savoir comment réagir en cas de cyberattaque.
- Rancongiciel (ransomware en anglais)
- Hameçonnage (phishing en anglais)
- Virus
- Compte compromis
- Fournisseur attaqué
- Fuite de données
- Déni de service
2. Communication de crise :
Modèles de communiqués de presse :
3. Obligation d'annonce à l'OFCS et notification aux autorités compétentes :
Notification d'une cyberattaque au CSIRT
Pour les membres de la Convention Canton-Communes, vous pouvez contacter la Police cantonale (117) et demander l’unité cybercrime pour annoncer une cyberattaque.
Cette unité se chargera de collecter les premières informations et de mobiliser l'équipe du CSIRT en cas de besoin.
Notification d’une violation à la protection des données à l’Autorité de protection des données et de droit à l'information (APDI)
L'annonce peut être faite au moyen de ce formulaire.
Sans être aujourd’hui une obligation légale, il est attendu qu’une annonce de violation possible de données personnelles soit systématiquement reportée à l’APDI dans un souci de transparence vis-à-vis des administrés et de la sécurité de leurs données.
Obligation de signaler les cyberattaques contre des infrastructures critiques à l'Office fédéral de la cybersécurité (OFCS)
Le Conseil fédéral a décidé de promulguer au 1er avril 2025 l’obligation de signaler les cyberattaques contre des infrastructures critiques. Depuis cette date, les exploitants d’infrastructures critiques sont tenus d’annoncer les cyberattaques à l’Office fédéral de la cybersécurité (OFCS) dans les 24 heures suivant leur détection.
Vous trouverez plus d'information sur la page dédiée de l'OFCS: https://www.ncsc.admin.ch/ncsc/fr/home/meldepflicht/meldepflicht-info.html
FAQ - Obligation de signaler
Questions
La LSI précise que les autorités et les organisations assujetties, telles les entreprises œuvrant dans les domaines de l’approvisionnement énergétique et de l’approvisionnement en eau potable, les entreprises de transport et les autorités cantonales ou communales ont l’obligation de signaler les cyberattaques à l’OFCS dans les 24 heures suivant leur détection.
La liste complète peut-être trouvée ici : LSI - Art. 74b Autorités et organisations assujetties à l’obligation de signaler
Les exceptions à l’obligation de signaler peuvent être trouvées ici: OCyS - Art. 12 Exceptions à l’obligation de signaler
Selon l’art. 13 OCyS, les autorités et organisations peuvent s’adresser à l’OFCS (ncsc(at)ncsc.admin.ch) pour savoir si elles sont assujetties à l’obligation de signaler.
Les exploitants d’infrastructures critiques sont tenus d’annoncer les cyberattaques à l’OFCS dans les 24 heures suivant leur détection.
Si toutes les informations requises ne peuvent pas être fournies dans les 24 heures, le délai pour compléter le signalement est de 14 jours.
Par exemple, si un système tombe en panne le vendredi soir, mais il n'apparaît que le lundi matin qu'il s'agit d'une cyberattaque.
Dans ce cas, la découverte de la cyberattaque est le lundi matin. Le délai de 24 heures commence à ce moment.
Une cyberattaque doit être signalée, notamment lorsqu’elle met en péril le fonctionnement de l’infrastructure critique concernée, a entraîné une manipulation ou une fuite d’informations, n’a pas été détectée pendant une période prolongée ou s’accompagne d’actes de chantage, de menaces ou de contrainte.
- La découverte d'une machine infectée depuis 6 mois. Cela pourrait indiquer une cyberattaque sophistiquée à des fins d'espionnage.
- Une attaque de déni de service paralysant l'infrastructure.
- Un accès indus à l'infrastructure locale provenant d'identifiants volés.
- Des informations volées suite à la compromission d'un compte.
En cas de doute, l'OFSC recommande de procéder à l’annonce.
Pour simplifier autant que possible le processus, l’OFCS a prévu un formulaire ad hoc sur la plateforme Cyber Security Hub qu’elle a mise en place pour l’échange d’informations avec les exploitants d’infrastructures critiques.
Lien du Cyber Security Hub: https://security-hub.ncsc.admin.ch/#/attack-reports/create
Les organisations qui ne souhaitent pas avoir accès à la plateforme peuvent cliquer sur le bouton de signalement figurant sur la page d’accueil de l’OFCS : https://www.report.ncsc.admin.ch/fr/
En remplissant le formulaire sur la page suivante : https://www.ncsc.admin.ch/ncsc/fr/home/meldepflicht/informationen-csh.html#-1671828087
Seulement à partir du 1er octobre 2025.
L’OFCS ne peut attirer l'attention d'une entreprise soumise à l'obligation de signaler les cyberattaques que lorsqu'il a lui-même connaissance d'un incident. Si aucune réaction n'intervient dans les délais après cet avis, l’OFCS rend une décision assortie d'une menace de sanction. Si le signalement n'est toujours pas effectué, l’OFCS peut dénoncer l'incident aux autorités de poursuite pénale compétentes.
Légalement, il n'est pas possible de déléguer la responsabilité, mais par contre il est possible de déléguer l'activité d'annonce à un prestataire qui serait plus à même de compléter l'annonce.
Une annonce à l'OFCS n'est pas une dénonciation judiciaire. Le Canton recommande également d'annoncer les cyberattaques auprès de la police cantonale.