L’institut de formation Swiss Infosec a interrogé des organisations et des entreprises suisses sur la nouvelle loi sur la sécurité de l’information. Il apparaît qu’un tiers d’entre eux ne savent pas réellement si leur organisation est concernée.
Le 1er janvier 2024, la nouvelle loi sur la sécurité de l’information (LSI) est entrée en vigueur en Suisse. Il oblige notamment les autorités fédérales à mettre en œuvre un système de gestion de la sécurité de l’information (ISMS) et renforce également les obligations des opérateurs d’infrastructures critiques en matière de cybersécurité. Swiss Infosec a mené une enquête sur la nouvelle loi à laquelle 120 entreprises ont participé. L’entreprise de conseil et de formation en cybersécurité souhaitait savoir si le thème du LSI avait été intégré par les autorités et les organisations. L’enquête aborde également l’importance de la sécurité de l’information aux yeux des entreprises interrogées, précise le communiqué de Swiss Infosec.
Selon cette enquête, la sécurité de l’information est très importante dans les entreprises suisses : près de 62% des organisations disposent d’un RSSI. En revanche, l’introduction des systèmes de gestion de la sécurité de l’information (ISMS), que la nouvelle loi oblige les offices fédéraux à mettre en place, pose problème. Parmi les participants à l’enquête, seulement un peu plus de 43 % semblent avoir mis en place un SMSI. Selon Reto Zbinden, PDG de Swiss Infosec, «c’est une valeur sur laquelle nous pouvons compter».
De plus, un peu plus d’un tiers des participants à l’enquête ont indiqué que leur organisation exploitait des infrastructures critiques. Ils sont donc directement concernés par la LSI et seront à l’avenir tenus de déclarer les cyberattaques contre les infrastructures critiques. Selon les résultats de l’enquête, une majorité a déjà envisagé cette obligation de notification. Ils sont donc directement concernés par la LSI et seront à l’avenir tenus de déclarer les cyberattaques contre les infrastructures critiques. Selon les résultats de l’enquête, une majorité a déjà envisagé cette obligation de notification.
Toutefois, la question de savoir qui est concerné par la LSI et qui ne l’est pas semble toujours Source d’incertitude. Ainsi, 29% des personnes interrogées ont indiqué ne pas savoir si la loi concernait leur organisation ou leur autorité. En revanche, près d’un quart des organisations interrogées se disent préoccupées par la LSI, tandis que près de la moitié répondent négativement.
