zum Inhalt springen
ntc-labor-services-titel

Nous testons ce qui ne serait pas testé autrement.

Des contrôles de cybersécurité indépendants et prédictifs pour une Suisse numérique sûre.

L’Institut national de test pour la cybersécurité (NTC) est une association indépendante à but non lucratif au service du public. Cette instance neutre identifie de manière proactive les points faibles critiques et encourage leur correction de manière ciblée.

Nous comblons ainsi une lacune critique et renforçons la résilience numérique de la Suisse.

Tests au NTC

Audits pour le compte des gestionnaires d’infrastructures critiques et des administrations publiques 

Le NTC effectue des tests pour le compte des exploitants d’infrastructures critiques et des administrations, ainsi que de la police et de l’armée, lorsqu’une indépendance et une objectivité maximales sont requises. Nos contrôles sont effectués selon des directives transparentes, sans aucune influence de la part des fabricants de produits, des prestataires de services ou des intérêts politiques. Les cas d’application typiques sont les contrôles de sécurité d’applications d’e-government, de systèmes de gestion critiques ou de plateformes inter-autorités. 

L’étendue de l’audit, le champ des tests et le calendrier sont définis avec le mandant. En principe, le contrôle n’a lieu qu’avec l’accord des personnes directement concernées. Le mandant reçoit un rapport d’audit final qui documente toutes les vulnérabilités identifiées, les évaluations et les recommandations d’action concrètes. Sur demande, le NTC apporte son soutien en matière de divulgation responsable.

Notre méthodologie de test 

  • Le NTC étudie les produits numériques et les infrastructures en réseau présentant un grand intérêt pour l’économie et la société, en particulier lorsqu’ils ne sont pas suffisamment testés en raison d’un manque d’incitations ou d’obligations légales.

    Le NTC analyse notamment de manière systématique les systèmes et infrastructures en réseau, des composants matériels aux applications Web et mobiles, en passant par les environnements cloud, les systèmes de contrôle industriels, les appareils IoT et les infrastructures critiques complexes. Pour ce faire, le NTC utilise des méthodes d’attaque modernes afin de détecter en amont les failles matérielles et logicielles et de minimiser les risques de manière ciblée.

    Le NTC n’effectue pas de tests pour le compte de fournisseurs de produits, de fabricants ou de prestataires de services privés.

  • Le NTC effectue des vérifications en toute indépendance, sans aucune influence de la part des fabricants, des prestataires de services ou des responsables politiques. Le NTC identifie les risques liés aux nouvelles technologies par anticipation et contribue activement à les résoudre.

  • Plutôt que de délivrer des certificats ou des labels dont la pertinence est limitée dans le temps, le NTC établit des rapports de test transparents qui documentent les résultats et le moment de l’analyse. Le NTC crée ainsi des bases à jour et solides pour prendre des décisions éclairées en matière de sécurité.

  • Les analyses de sécurité approfondies du NTC vont au-delà des contrôles purement techniques: dans le cadre d’analyses plus complètes, le NTC tient compte des vulnérabilités techniques, mais aussi des configurations, des processus et des aspects organisationnels non sécurisés dans leur ensemble.

  • Le NTC participe activement à la correction et à la validation des vulnérabilités afin de parvenir à augmenter durablement le niveau de sécurité. Idéalement, le NTC accompagne le processus, par exemple en posant des questions techniques, en vérifiant la conception et en effectuant de nouveaux tests. Le NTC contribue ainsi à la mise en œuvre ciblée de mesures de protection efficaces et à la prévention durable des risques consécutifs.

  • Pour les demandes de test urgentes, il est important d’obtenir des résultats rapides. Étant donné qu’une grande partie des vérifications est initiée par le NTC lui-même, les délais ne dépendent pas de mandants externes. Cela permet de bénéficier de la flexibilité temporelle nécessaire pour hiérarchiser les projets urgents et les clôturer rapidement.

  • En adoptant la motion «Réalisation de contrôles de cybersécurité urgents et nécessaires» en décembre 2024, le Parlement fédéral a expressément reconnu la pertinence des contrôles de sécurité indépendants.

    Sur cette base, le NTC contribue activement à la mise en œuvre de la cyberstratégie nationale (CSN), en particulier pour les mesures M4 «Analyse des tendances, des risques et des dépendances» et M5 «Identifier les vulnérabilités et y remédier». La pertinence et l’impact de ces contributions sont une nouvelle fois soulignés dans le dernier rapport sur la mise en œuvre de la cyberstratégie nationale (CSN) 2024, publié en mai 2025:

    Afin de comprendre à un stade précoce les tendances, les risques et les dépendances, l’Institut national de test pour la cybersécurité (NTC) étudie les technologies et les développements numériques. Ainsi, le NTC a analysé les risques liés aux dépendances des systèmes de l’Europe, ainsi que les applications Temu et TikTok (en concertation avec l’OFCS) et a formulé des recommandations d’action concrètes. Ensemble, ces travaux constituent la base des décisions stratégiques en matière de résilience, renforcent l’expertise de la Suisse et sensibilisent aux tendances technologiques.

    Office fédéral de la cybersécurité (OFCS)

     

Nos domaines de test

App Icon für Anwendungsprüfung

Application Penetration Testing

Test de la sécurité des applications, qu’il s’agisse d’applications Web et mobiles, d’applications de bureau ou d’API, y compris l’examen du code et selon des normes reconnues comme OWASP ASVS.

Icon Smartphone und Tablet

Mobile Application Penetration

TestingTest de la sécurité des applications mobiles pour Android et iOS selon des normes reconnues telles que OWASP MASVS.

Icon eines Kühlschranks

Contrôle de sécurité des systèmes IoT et OT

Évaluation d’appareils en réseau (Internet des objets) et de systèmes de commande industriels (ICS/SCADA/DCS) en tenant compte de normes comme la norme CEI 62443.

Icon eines Routers stellvertretend für Hardwarekomponenten

Contrôle des composants matériels

Analyse des appareils physiques et des systèmes intégrés comme les appareils de commande, les capteurs et les puces. Cela englobe la lecture et la rétro-ingénierie des firmwares ainsi que les attaques de débogage ou d’autres interfaces internes. Les normes comme la norme EN 18031 sont prises en compte.

Icon einer Wolke

Contrôle de sécurité du cloud

Analyse des environnements cloud et des plateformes SaaS pour détecter les erreurs de configuration, les contrôles d’accès insuffisants ou les vulnérabilités dans les scénarios de cloud hybride. Il peut s’agir des environnements cloud d’hyperscalers comme Azure, AWS ou GCP, mais aussi de prestataires informatiques locaux. Les recommandations telles que les benchmarks CIS sont prises en compte.

Icon eines Tablets mit Coding Klammern davor

Analyse de la sécurité des logiciels open source

Test de logiciels et de bibliothèques open source très pertinents et répandus en Suisse. L’objectif est d’identifier les vulnérabilités critiques, comme celles apparues dans Log4j en 2021, ou les backdoors, comme celles découvertes dans XZ Utils en 2024.

Netzwerk Icon, Kreis mit Verbindung zu kleineren Kreisen

Test du réseau et de l’infrastructure de sécurité

Analyse des infrastructures réseau (pare-feu, VPN, routeurs, réseaux WLAN ou services de base tels que DNS, messagerie électronique et VoIP) pour identifier les erreurs de configuration, les failles de protocole ou les problèmes de segmentation.

Icon eines servers

Test de l’infrastructure client/serveur

Vérification de la sécurité des clients (p. ex. Windows, Linux, Android, iOS, VDI), des serveurs (p. ex. Windows, Unix) ainsi que des solutions de virtualisation (p. ex. VMware, Hyper-V) et des technologies de conteneurs (p. ex. Docker).

Icons eines kleinen Roboters

Test de nouvelles technologies (p. ex. systèmes d’IA)

Analyse de technologies modernes émergentes comme les systèmes d’IA et d’apprentissage automatique, l’infrastructure de recharge pour l’électromobilité, le smart grid dans la perspective du développement des énergies renouvelables et les ordinateurs quantiques afin d’identifier les failles de sécurité et de sensibiliser à l’avance aux nouveaux risques pour la société suisse.

Conditions légales et divulgation responsable

Intégrité juridique

Les tests de sécurité dans les systèmes de tiers sont effectués avec l’accord des organes responsables et conformément aux conditions légales en vigueur en Suisse.

Divulgation responsable des vulnérabilités

  • Signalement confidentiel: afin d’y remédier rapidement, les vulnérabilités sont d’abord signalées de manière confidentielle au fabricant ou à l’exploitant.
  • Annonce publique: les résultats du test peuvent être publiés en accord avec les partenaires et après un délai raisonnable. Cela permet d’attirer l’attention sur les schémas de vulnérabilité typiques et d’émettre un avertissement précoce si les corrections ne sont pas effectuées, ou uniquement avec du retard.

    Vulnerability Disclosure Policy

NTC Vulnerability Hub

Vos interlocuteurs