

Nous testons ce qui ne serait pas testé autrement.
Des contrôles de cybersécurité indépendants et prédictifs pour une Suisse numérique sûre.
L’Institut national de test pour la cybersécurité (NTC) est une association indépendante à but non lucratif au service du public. Cette instance neutre identifie de manière proactive les points faibles critiques et encourage leur correction de manière ciblée.
Nous comblons ainsi une lacune critique et renforçons la résilience numérique de la Suisse.
Tests au NTC
Audits pour le compte des gestionnaires d’infrastructures critiques et des administrations publiques
Le NTC effectue des tests pour le compte des exploitants d’infrastructures critiques et des administrations, ainsi que de la police et de l’armée, lorsqu’une indépendance et une objectivité maximales sont requises. Nos contrôles sont effectués selon des directives transparentes, sans aucune influence de la part des fabricants de produits, des prestataires de services ou des intérêts politiques. Les cas d’application typiques sont les contrôles de sécurité d’applications d’e-government, de systèmes de gestion critiques ou de plateformes inter-autorités.
L’étendue de l’audit, le champ des tests et le calendrier sont définis avec le mandant. En principe, le contrôle n’a lieu qu’avec l’accord des personnes directement concernées. Le mandant reçoit un rapport d’audit final qui documente toutes les vulnérabilités identifiées, les évaluations et les recommandations d’action concrètes. Sur demande, le NTC apporte son soutien en matière de divulgation responsable.
Contrôles de sécurité en collaboration avec des exploitants d’infrastructures critiques ou des autorités
Le NTC met en relation des organisations confrontées à des défis similaires, regroupe les ressources et initie des contrôles de sécurité coordonnés et des analyses de risques. Les systèmes ou produits utilisés par plusieurs acteurs (par ex. les systèmes d’information clinique dans les hôpitaux ou les systèmes de gestion de l’énergie) sont examinés conjointement. En tant qu’instance d’audit neutre, le NTC établit des rapports consolidés et les met à la disposition de toutes les parties concernées. L’approche coopérative évite les redondances, augmente l’efficacité et améliore la cybersécurité à l’échelle du système.
Tout commence avec un soupçon initial. Après une première clarification, le NTC identifie des partenaires appropriés et les réunit au sein d’un groupe d’essai. L’étendue de l’audit, le champ des tests et le calendrier sont définis conjointement. En principe, le contrôle n’a lieu qu’avec l’accord des personnes directement concernées. Les partenaires reçoivent un rapport d’audit final qui documente toutes les vulnérabilités identifiées, les évaluations et les recommandations d’action concrètes. Le NTC apporte son soutien en matière de divulgation responsable.
Proactif, indépendant, axé sur l’intérêt général
Le NTC teste de sa propre initiative et avec ses propres moyens (indépendamment des intérêts politiques ou économiques) des produits et applications numériques qui n’ont pas été suffisamment testés en Suisse jusqu’à présent, par exemple en raison de l’absence de directives légales, d’incitations économiques ou de responsabilités claires. Parmi les projets d’initiative figurent par exemple les analyses de sécurité d’applications utilisées tous les jours et d’appareils connectés qui sont utilisés des millions de fois, ou les études dans de nouveaux domaines technologiques aux responsabilités floues. Ainsi, le NTC a par exemple examiné en détail l’infrastructure de recharge publique pour l’électromobilité en Suisse. Nous mettons nos résultats et recommandations à la disposition des autorités, de l’économie et du public en toute transparence, dans le but de renforcer durablement la cyberrésilience de la Suisse.
Tout commence par un soupçon initial. Après une première clarification, le NTC définit l’étendue de l’audit, le champ des tests et le calendrier. Les résultats sont publiés dans un souci de divulgation responsable, communiqués avec soin et publiés dans un rapport d’audit sommaire.
Notre méthodologie de test
-
Le NTC étudie les produits numériques et les infrastructures en réseau présentant un grand intérêt pour l’économie et la société, en particulier lorsqu’ils ne sont pas suffisamment testés en raison d’un manque d’incitations ou d’obligations légales.
Le NTC analyse notamment de manière systématique les systèmes et infrastructures en réseau, des composants matériels aux applications Web et mobiles, en passant par les environnements cloud, les systèmes de contrôle industriels, les appareils IoT et les infrastructures critiques complexes. Pour ce faire, le NTC utilise des méthodes d’attaque modernes afin de détecter en amont les failles matérielles et logicielles et de minimiser les risques de manière ciblée.
Le NTC n’effectue pas de tests pour le compte de fournisseurs de produits, de fabricants ou de prestataires de services privés.
-
Le NTC effectue des vérifications en toute indépendance, sans aucune influence de la part des fabricants, des prestataires de services ou des responsables politiques. Le NTC identifie les risques liés aux nouvelles technologies par anticipation et contribue activement à les résoudre.
-
Plutôt que de délivrer des certificats ou des labels dont la pertinence est limitée dans le temps, le NTC établit des rapports de test transparents qui documentent les résultats et le moment de l’analyse. Le NTC crée ainsi des bases à jour et solides pour prendre des décisions éclairées en matière de sécurité.
-
Les analyses de sécurité approfondies du NTC vont au-delà des contrôles purement techniques: dans le cadre d’analyses plus complètes, le NTC tient compte des vulnérabilités techniques, mais aussi des configurations, des processus et des aspects organisationnels non sécurisés dans leur ensemble.
-
Le NTC participe activement à la correction et à la validation des vulnérabilités afin de parvenir à augmenter durablement le niveau de sécurité. Idéalement, le NTC accompagne le processus, par exemple en posant des questions techniques, en vérifiant la conception et en effectuant de nouveaux tests. Le NTC contribue ainsi à la mise en œuvre ciblée de mesures de protection efficaces et à la prévention durable des risques consécutifs.
-
Pour les demandes de test urgentes, il est important d’obtenir des résultats rapides. Étant donné qu’une grande partie des vérifications est initiée par le NTC lui-même, les délais ne dépendent pas de mandants externes. Cela permet de bénéficier de la flexibilité temporelle nécessaire pour hiérarchiser les projets urgents et les clôturer rapidement.
-
En adoptant la motion «Réalisation de contrôles de cybersécurité urgents et nécessaires» en décembre 2024, le Parlement fédéral a expressément reconnu la pertinence des contrôles de sécurité indépendants.
Sur cette base, le NTC contribue activement à la mise en œuvre de la cyberstratégie nationale (CSN), en particulier pour les mesures M4 «Analyse des tendances, des risques et des dépendances» et M5 «Identifier les vulnérabilités et y remédier». La pertinence et l’impact de ces contributions sont une nouvelle fois soulignés dans le dernier rapport sur la mise en œuvre de la cyberstratégie nationale (CSN) 2024, publié en mai 2025:
Afin de comprendre à un stade précoce les tendances, les risques et les dépendances, l’Institut national de test pour la cybersécurité (NTC) étudie les technologies et les développements numériques. Ainsi, le NTC a analysé les risques liés aux dépendances des systèmes de l’Europe, ainsi que les applications Temu et TikTok (en concertation avec l’OFCS) et a formulé des recommandations d’action concrètes. Ensemble, ces travaux constituent la base des décisions stratégiques en matière de résilience, renforcent l’expertise de la Suisse et sensibilisent aux tendances technologiques.
Office fédéral de la cybersécurité (OFCS)
Nos domaines de test
Application Penetration Testing
Test de la sécurité des applications, qu’il s’agisse d’applications Web et mobiles, d’applications de bureau ou d’API, y compris l’examen du code et selon des normes reconnues comme OWASP ASVS.
Mobile Application Penetration
TestingTest de la sécurité des applications mobiles pour Android et iOS selon des normes reconnues telles que OWASP MASVS.
Contrôle de sécurité des systèmes IoT et OT
Évaluation d’appareils en réseau (Internet des objets) et de systèmes de commande industriels (ICS/SCADA/DCS) en tenant compte de normes comme la norme CEI 62443.
Contrôle des composants matériels
Analyse des appareils physiques et des systèmes intégrés comme les appareils de commande, les capteurs et les puces. Cela englobe la lecture et la rétro-ingénierie des firmwares ainsi que les attaques de débogage ou d’autres interfaces internes. Les normes comme la norme EN 18031 sont prises en compte.
Contrôle de sécurité du cloud
Analyse des environnements cloud et des plateformes SaaS pour détecter les erreurs de configuration, les contrôles d’accès insuffisants ou les vulnérabilités dans les scénarios de cloud hybride. Il peut s’agir des environnements cloud d’hyperscalers comme Azure, AWS ou GCP, mais aussi de prestataires informatiques locaux. Les recommandations telles que les benchmarks CIS sont prises en compte.
Analyse de la sécurité des logiciels open source
Test de logiciels et de bibliothèques open source très pertinents et répandus en Suisse. L’objectif est d’identifier les vulnérabilités critiques, comme celles apparues dans Log4j en 2021, ou les backdoors, comme celles découvertes dans XZ Utils en 2024.
Test du réseau et de l’infrastructure de sécurité
Analyse des infrastructures réseau (pare-feu, VPN, routeurs, réseaux WLAN ou services de base tels que DNS, messagerie électronique et VoIP) pour identifier les erreurs de configuration, les failles de protocole ou les problèmes de segmentation.
Test de l’infrastructure client/serveur
Vérification de la sécurité des clients (p. ex. Windows, Linux, Android, iOS, VDI), des serveurs (p. ex. Windows, Unix) ainsi que des solutions de virtualisation (p. ex. VMware, Hyper-V) et des technologies de conteneurs (p. ex. Docker).
Test de nouvelles technologies (p. ex. systèmes d’IA)
Analyse de technologies modernes émergentes comme les systèmes d’IA et d’apprentissage automatique, l’infrastructure de recharge pour l’électromobilité, le smart grid dans la perspective du développement des énergies renouvelables et les ordinateurs quantiques afin d’identifier les failles de sécurité et de sensibiliser à l’avance aux nouveaux risques pour la société suisse.
Conditions légales et divulgation responsable
Intégrité juridique
Les tests de sécurité dans les systèmes de tiers sont effectués avec l’accord des organes responsables et conformément aux conditions légales en vigueur en Suisse.
Divulgation responsable des vulnérabilités
- Signalement confidentiel: afin d’y remédier rapidement, les vulnérabilités sont d’abord signalées de manière confidentielle au fabricant ou à l’exploitant.
- Annonce publique: les résultats du test peuvent être publiés en accord avec les partenaires et après un délai raisonnable. Cela permet d’attirer l’attention sur les schémas de vulnérabilité typiques et d’émettre un avertissement précoce si les corrections ne sont pas effectuées, ou uniquement avec du retard.
Vulnerability Disclosure Policy
NTC Vulnerability Hub
Vos interlocuteurs


