Cybersécurité: de nombreuses communes suisses gravement menacées

621 communes - près de 30 pour cent de toutes les communes suisses - ont participé à l’enquête 2025 sur les communes de l’association «Ma Commune» et de l’Association des communes suisses (ACS). Cela correspond à une augmentation réjouissante de 3,3 points de pourcentage par rapport à 2024. L’enquête de cette année était axée sur la situation actuelle en matière de sécurité et sur le besoin d’un soutien externe dans le domaine de la sécurité des données et de la cybersécurité. Le taux de participation élevé fournit une image significative de la situation réelle. Et cette image est alarmante dans de nombreux domaines.

Un aperçu structuré des systèmes informatiques propres à chaque commune - ce que l’on appelle l’inventaire - fait déjà défaut dans de nombreuses communes. Or, sans inventaire, il est impossible de savoir quels systèmes existent, où ils se trouvent, comment ils sont utilisés - et comment ils devraient être protégés (voir fig. 1).

L’image est également mitigée en ce qui concerne les directives en matière de sécurité: environ 40% des communes ne disposent d’aucune directive ou de directives peu claires en matière de cybersécurité. Et lorsqu’elles existent, il n’est pas clair dans quelle mesure elles sont orientées stratégiquement sur les besoins effectifs de la commune ou si elles ne couvrent que des normes minimales générales (voir fig. 2). Dans l’ensemble, les directives relatives à la cybersécurité ne constituent pas une base suffisante.

La situation est encore plus critique en ce qui concerne les plans d’urgence. Certes, un peu plus de la moitié des communes disposent de solutions standardisées ou optimisées (voir fig. 3). Or, ce sont précisément les infrastructures critiques – comme l’approvisionnement en eau, en électricité ou les services administratifs – qui nécessitent des plans solides et éprouvés, capables de fonctionner même en situation de crise. De nombreuses communes ne seraient probablement que partiellement en mesure de réagir de manière adéquate à des problèmes techniques graves et à des cyber-attaques.

La situation est similaire en ce qui concerne la gestion des risques: à peine la moitié des communes travaillent avec des procédures standardisées ou optimisées (voir fig. 4). Or, si l’on n’analyse pas systématiquement les risques, on ne peut pas non plus prendre de mesures préventives. Cette capacité fait souvent défaut dans les solutions actuellement en place.

Autre point faible: les formations. En Suisse alémanique et en Suisse romande, environ 50 pour cent des communes disposent d’une offre de formation correspondante, au Tessin, elles ne sont que 21 pour cent - avec toutefois un petit nombre de cas. Il manque donc à de nombreux collaborateurs les connaissances et la compréhension nécessaires pour agir en étant conscient de la sécurité (voir fig. 5). Outre la question de l’inventaire, la situation en matière de formation doit être jugée insuffisante. 

Le besoin de soutien externe non couvert est par conséquent élevé: 46 % des communes interrogées souhaitent un soutien "plutôt important" ou "important" de la part de spécialistes externes. Les besoins les plus importants concernent la gestion des risques (59,5 %), les directives en matière de cybersécurité (59,0 %), la formation (58,8 %) et les plans d’urgence (58,1 %). Ainsi, les mêmes thèmes sont au centre de l’attention que lors de l’évaluation de la situation actuelle.

Il est positif que le besoin de soutien par des experts en sécurité externes soit reconnu. Toutefois, comme les communes ne disposent pas toujours de leurs propres spécialistes dans le domaine de la sécurité des données et de la cybersécurité, la question se pose de savoir dans quelle mesure les accords de collaboration existants sont conçus de manière adéquate en termes de sécurité.

Dans le meilleur des cas, les communes sont relativement bien protégées: les systèmes ont été largement épargnés et aucune attaque majeure ne s’est manifestement produite. Dans le pire des cas, c’est simplement la chance qui a joué jusqu’à présent – et nous sommes assis sur une poudrière numérique. Les responsables n’en sont peut-être pas toujours conscients, faute d’informations suffisantes ou de compétences adéquates. Sinon, il serait difficile d’expliquer pourquoi de nombreuses communes ne maîtrisent pas (totalement) des aspects importants de la cybersécurité ou n’ont pas encore pu combler les failles existantes.

Compte tenu de l’importance sociétale du sujet et des conditions particulières du système de milice, la question se pose de savoir dans quelle mesure des normes techniques et légales pourraient aider à garantir une plus grande sécurité à l’échelle nationale.