Cybersécurité · Zurich · CH / UE

Une sécurité qui se justifie.

Nous pensons la cybersécurité dans une perspective économique du conflit — l'investissement doit correspondre à la valeur de l'information. Cette négociation, nous la conduisons là où elle a sa place : entre conseil d'administration, juridique et compliance.

Comprendre NIS-2 et CRA
Ce que nous faisons

Trois disciplines, une doctrine.

Du positionnement stratégique à l'évaluation juridiquement opposable, jusqu'à la pratique réglementaire. Indépendamment du secteur et de la taille, de la PME au grand groupe.

01 / Stratégie

Une stratégie qui relie.

Nous travaillons au niveau où les décisions de sécurité se prennent réellement — entre conseil d'administration, juridique et compliance. Besoin de protection, doctrine et logique d'investissement ne sont pas délégués ici ; ils sont négociés.

  • Doctrine de sécurité et positionnement stratégique
  • Évaluation des actifs et économie du risque
  • Priorisation des investissements et portefeuille sécurité
  • Pont vers le juridique, la compliance et l'audit
  • Dialogue avec la direction et le conseil d'administration
02 / Évaluation

Une sécurité juridiquement opposable.

Des évaluations indépendantes qui tiennent devant les assureurs, en due diligence et en procédure. Nous chiffrons ce que d'autres se contentent d'évoquer — état de l'art, devoir de diligence, potentiel de dommage.

  • Solidité face aux assureurs (primes et sinistres)
  • Vue cyber en due diligence (M&A · investissements)
  • État de l'art et devoir de diligence — opposable à l'audit
  • Accompagnement en procédure (arbitrage · autorité)
  • Modélisation du potentiel de dommage
03 / Réglementation

La réglementation, mise en pratique.

Nous traduisons les directives en réalité opérationnelle — sans théâtre du buzzword, avec des traces vérifiables. Solides à l'interface Suisse / UE, de l'entrée en vigueur jusqu'à l'audit.

  • NIS-2 et Cyber Resilience Act
  • LSI suisse (ISG) et obligation d'annoncer à l'OFCS (BACS)
  • ISO 27001 / 27002
  • FINMA · DORA · sectoriel
  • Maturité d'audit et solidité face à l'autorité
Le paysage réglementaire

L'Europe resserre son périmètre.
Quel impact pour la Suisse ?

Avec la directive NIS-2 et le Cyber Resilience Act, l'UE formule son exigence la plus complète à ce jour en matière de cybersécurité. Les entreprises suisses ne sont pas directement assujetties — mais via les filiales UE, les marchés UE et les chaînes d'approvisionnement, la pression passe presque sans interruption.

24h
Pré-alerte pour incidents significatifs — sous NIS-2 comme sous la LSI suisse depuis avril 2025.
10M€
Amende NIS-2 maximale pour entités « essentielles » — ou 2 % du chiffre d'affaires mondial annuel.
2027
Application pleine du Cyber Resilience Act à partir du 11 décembre 2027 — les obligations d'annonce s'appliquent dès septembre 2026.

La directive NIS-2 remplace la directive NIS originale de 2016 et déplace définitivement la cybersécurité de la cave informatique vers le conseil d'administration. Sont désormais visées non seulement les infrastructures critiques classiques, mais aussi notamment les fabricants de produits critiques, les services numériques, la gestion des déchets, l'administration publique et une part substantielle de l'industrie manufacturière.

Les destinataires sont répartis en deux catégories — entités « essentielles » et entités « importantes ». La différence réside surtout dans l'intensité de la surveillance et le plafond des amendes. Pour les deux : la direction engage sa responsabilité personnelle.

  • Champ 18 secteurs, entreprises moyennes et grandesÉnergie, transport, banques, santé, eau, infrastructure numérique, administration, alimentation, industrie, recherche, etc.
  • Obligations Gestion des risques, concepts de sécurité, diligence sur la chaîne d'approvisionnementY compris authentification multi-facteurs, gestion des incidents, gestion de crise, chiffrement.
  • Annonce 24 h pré-alerte · 72 h notification · 1 mois rapport finalÀ l'autorité nationale compétente ou au CSIRT.
  • Sanctions Jusqu'à 10 M€ ou 2 % du CA annuel (essentiel) · 7 M€ / 1,4 % (important)Responsabilité personnelle des organes de direction ; interdiction temporaire d'activité possible.
NIS-2 fait de la cybersécurité une discipline de compliance au même titre que la protection des données ou la lutte contre le blanchiment — avec des obligations vérifiables et des sanctions sensibles plutôt que de pieux souhaits.

Là où NIS-2 régule la sécurité des organisations, le Cyber Resilience Act (CRA) s'adresse à la sécurité des produits — plus précisément, à tous les « produits avec éléments numériques » mis sur le marché intérieur de l'UE. Du capteur IoT en passant par les composants industriels jusqu'au logiciel autonome.

La direction est sans équivoque : la sécurité by design devient obligatoire, le marquage CE inclura désormais la cybersécurité, et la responsabilité ne s'arrête pas à la vente — les fabricants doivent garantir une gestion des vulnérabilités spécifique au produit et des mises à jour de sécurité durant la « période de support » définie.

  • Champ Tous les produits avec éléments numériques sur le marché UEMatériel, logiciel, composants en réseau — y compris importateurs et distributeurs.
  • Obligations Security by design · gestion des vulnérabilités · mises à jourÉvaluation de conformité avant mise sur le marché ; support sur toute la durée de vie du produit.
  • Annonce Vulnérabilités activement exploitées et incidents dès 09 / 2026Notification à l'ENISA et aux CSIRT nationaux dans les 24 / 72 heures.
  • Sanctions Jusqu'à 15 M€ ou 2,5 % du CA mondial annuelRetrait du marché et retrait du marquage CE possibles à titre additionnel.
Quiconque livre des produits sur le marché de l'UE devra inscrire la cybersécurité dans sa nomenclature — avec la même évidence que la sécurité électrique ou la CEM.

La Suisse n'est pas membre de l'UE — la directive NIS-2 et le CRA ne s'y appliquent pas directement. Il serait pourtant illusoire de croire les entreprises suisses non concernées. L'effet passe par trois canaux, et il est bien réel.

i

Filiales UE

Un établissement dans l'espace UE est directement soumis à la transposition locale de NIS-2 — avec toutes les obligations d'annonce et plafonds d'amendes.

ii

Services vers le marché UE

Celui qui offre depuis la Suisse des services numériques dans l'UE — cloud, services managés, DNS — entre souvent directement dans le champ.

iii

Chaîne d'approvisionnement

Les clients UE sont tenus de contrôler la cybersécurité de leurs fournisseurs. NIS-2 est ainsi répercutée « en amont » — par contrats plutôt que par lois.

En parallèle, la Suisse durcit son propre cadre. La loi sur la sécurité de l'information (LSI / ISG) est en vigueur depuis janvier 2024 ; depuis le 1 avril 2025, une obligation d'annonce dans les 24 heures s'applique aux exploitants d'infrastructures critiques vis-à-vis de l'Office fédéral de la cybersécurité (OFCS / BACS). En cas de manquement, des amendes jusqu'à CHF 100 000 sont prévues. Une extension du champ vers la logique NIS-2 est prévisible.

La vraie question n'est pas « sommes-nous compliants ? » mais « sommes-nous résilients — et pouvons-nous le démontrer ? » Qui veut des réponses devrait les avoir avant l'incident, pas après.
Calendrier

Ce qui entre en vigueur, et quand.

La vague réglementaire ne commence pas en 2027 — elle est en marche depuis 2024. Les dates ci-dessous sont les piliers. La préparation commence plusieurs trimestres en amont.

  1. 01 · 2024
    LSI suisse en vigueur Premières obligations d'annonce pour les services fédéraux et les exploitants d'infrastructures critiques.
  2. 10 · 2024
    NIS-2 effective dans l'UE Délai de transposition nationale ; champ multiplié par cinq.
  3. 12 · 2024
    Cyber Resilience Act en vigueur Les phases transitoires commencent ; les fabricants ajustent le cycle de vie produit.
  4. 04 · 2025
    CH : obligation d'annonce 24 h active Notification à l'OFCS obligatoire pour les exploitants d'infrastructures critiques.
  5. 09 · 2026
    Obligations d'annonce CRA actives Vulnérabilités actives et incidents à annoncer — réalité des fabricants.
  6. 12 · 2027
    Application pleine du CRA Conformité à chaque mise sur le marché — pas de CE sans cyber.

Pas de discours commercial.
Quinze minutes de clarté sur ce que vous devez réellement protéger.

À propos de l'entreprise
Pour le confidentiel, privilégier Threema ou Signal — non par e-mail non chiffré