zum Inhalt springen
Contact

    À propos de l’Institut national de test pour la cybersécurité NTC

    • L’Institut national de test pour la cybersécurité (NTC) contribue à la sécurité et à la souveraineté numérique de la Suisse en identifiant de manière proactive les vulnérabilités critiques des produits numériques et les risques liés aux nouvelles technologies numériques, et en soutenant leur atténuation.

    • L’association effectue des contrôles de cybersécurité des composants en réseau, des études et des analyses de risques, en mettant l’accent sur le maintien de la sécurité et de la souveraineté numérique de la Suisse. Cela inclut les matériels et logiciels utilisés en Suisse, indépendamment de leur fabricant et de leur origine géographique. La priorité est donnée aux missions de contrôle liées aux infrastructures critiques, aux autorités telles que la police et l’armée, ainsi qu’aux contrôles des composants en réseau utilisés en grand nombre dans l’économie et la société civile suisses. L’association s’appuie également sur les compétences du secteur privé, des instituts de recherche et des établissements d’enseignement en Suisse et à l’étranger.

    • En Suisse, de nombreux contrôles de cybersécurité des infrastructures, appareils et applications en réseau, pourtant urgemment nécessaires, ne sont pas effectués. Ces contrôles sont pourtant indispensables pour protéger la société, assurer le bon fonctionnement de l’économie et des autorités. L’institut national de test pour la cybersécurité (NTC), indépendant et à but non lucratif, comble le vide critique des contrôles de cybersécurité manquants.

      • Le NTC est considéré comme un acteur central dans la mise en œuvre des thèmes prioritaires de la Cyberstratégie nationale de la Confédération et des cantons, en particulier pour les mesures M4 « Analyse des tendances, des risques et des dépendances » et M5 « Identifier les vulnérabilités et y remédier » (disponibles sur : https://www.ncsc.admin.ch/ncsc/fr/home/strategie/cyberstrategie-ncs.html).
      • En adoptant la motion « Réalisation de contrôles de cybersécurité urgents et nécessaires », le Parlement fédéral a reconnu en décembre 2024 l’existence de failles de sécurité critiques (disponible sur: https://www.parlament.ch/fr/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20243810).
      • L’Office fédéral de la cybersécurité (OFCS) soutient les projets d’initiative NTC : « De tels contrôles de sécurité contribuent à fournir des services et des infrastructures numériques sûrs et disponibles, à accroître la cyber-résilience en Suisse et à soutenir la mise en œuvre de la Cyberstratégie nationale (CSN) ».

    • Le NTC effectue des tests sur demande (payants) et de sa propre initiative (à ses propres frais). Il propose une série de services visant à renforcer la cybersécurité en Suisse. Il s’agit notamment de :

      • Tests de sécurité : analyse et évaluation de la cybersécurité des infrastructures, des appareils et des applications en réseau. 
      • Analyses des vulnérabilités : identification et évaluation des failles de sécurité critiques, en particulier dans les infrastructures critiques et les technologies largement utilisées.
      • Recherche et études : étude des nouvelles menaces et développement de solutions de sécurité innovantes pour promouvoir la souveraineté numérique.
      • Conseil et transfert de connaissances : soutien aux autorités, entreprises et organisations par le biais d’expertise, de formations et de bonnes pratiques.

      La priorité est donnée aux audits qui se concentrent sur les infrastructures critiques, les autorités telles que la police et l’armée, ainsi que sur les nombreux composants en réseau utilisés dans l’économie et la société civile suisses.

    • Non, le NTC est une association indépendante d’utilité publique de droit suisse dont le siège est à Zoug.

    • L’activité de l’Institut national de test pour la cybersécurité (NTC) n’est pas à but lucratif. Il est financé par les pouvoirs publics, des fondations et des mécènes, ainsi que par les recettes provenant des contrats de test.

    • Le NTC effectue des contrôles de cybersécurité pour le compte d’opérateurs d’infrastructures critiques et d’autorités publiques, car une indépendance et une objectivité strictes sont requises. Toute influence sur les contrôles de sécurité de la part des fabricants de produits, des prestataires de services ou des acteurs politiques et administratifs est exclue. De même, le NTC teste de sa propre initiative des produits et applications numériques qui ne sont pas suffisamment testés en Suisse, que ce soit en raison d’un manque d’incitations ou d’obligations légales.

    Projets sur commande et projets d’initiative
     

    • Oui, le NTC examine la cybersécurité des infrastructures critiques et des autorités afin de garantir la sécurité et l’indépendance de la Suisse. Il n’effectue cependant pas de tests pour le compte de fournisseurs de produits, de fabricants ou de prestataires de services du secteur privé.

    • Dans le cadre de projets d’initiative, le NTC teste de sa propre initiative et à ses propres frais – sans aucun intérêt politique ou économique – des produits et applications numériques qui ne sont pas suffisamment testés en Suisse.

    • Non. Le NTC établit des rapports d’essai pour des périodes de test définies et renonce délibérément à l’attribution de labels et de certificats, car ceux-ci ont une pertinence limitée dans le temps et créent de fausses incitations.

    Publication des vulnérabilités - Vulnerability Disclosure

    • En publiant de manière responsable les vulnérabilités, le NTC poursuit trois objectifs :

      1. Divulgation privée au fabricant pour une correction rapide et correcte des vulnérabilités.

      2. Publication des modèles de vulnérabilité pour éviter qu’ils ne se reproduisent.

      3. Avertissement sur les failles de sécurité afin que les utilisateurs puissent prendre leurs propres mesures de protection, en particulier en cas de retard ou d’absence de correctifs.

    • Les vulnérabilités sont généralement publiées sur le NTC Vulnerability Hub.

      Les points faibles pertinents peuvent également être publiés dans d’autres publications, telles que des rapports succincts, des communiqués de presse ou des bulletins d’information. La plupart de ces publications se trouvent sur le site web du NTC :

    • Les points faibles et les risques sont communiqués comme suit, dans le respect des dispositions légales :

      a. Signalement à l’instance responsable : toutes les vulnérabilités sont d’abord signalées exclusivement à l’instance responsable (par exemple, le fabricant ou le client) avec une Proof of Concept Exploit (« divulgation responsable »). Si le client n’est pas lui-même responsable, il est simplement informé des vulnérabilités graves, sans détails techniques. Si des informations sont transmises à des tiers, le nom du client n’est jamais cité.

      b. Publication facultative : en accord avec le client, le NTC peut publier les vulnérabilités avec un niveau de détail approprié (par exemple sur https://hub.ntc.swiss), mais sans mentionner le client.

      c. Notification aux autorités : les vulnérabilités particulièrement graves sont signalées à l’Office fédéral de la cybersécurité (OFCS) ou au Préposé fédéral à la protection des données et à la transparence (PFPDT), également de manière anonyme.

      d. Rapport d’audit : une fois la mission terminée, le client reçoit un aperçu complet de toutes les vulnérabilités identifiées.

    • Les points faibles et les risques sont communiqués comme suit, dans le respect des dispositions légales :

      a. Notification à l’entité responsable : les vulnérabilités identifiées sont d’abord signalées exclusivement à l’entité responsable (par exemple, le fabricant ou le partenaire de test) avec une Proof of Concept Exploit (« divulgation responsable »). Si le partenaire de test n’est pas responsable, il est seulement informé de l’existence de vulnérabilités graves, sans détails techniques. Si des informations sont transmises à des tiers, le nom du partenaire de test n’est jamais cité.

      b. Délai pour remédier au problème : les fabricants disposent d’un délai de 90 jours à compter de la date de notification pour remédier au problème. Si les tiers concernés doivent prendre des mesures de protection, ce délai peut être prolongé de 30 jours.

      c. Publication de vulnérabilités :

      • Faiblesses corrigées : elles peuvent être publiées en détail avec l’accord du fabricant (par exemple sur ntc.swiss). Sans accord, la publication se fait sous une forme réduite.
      • Faiblesses non corrigées : elles peuvent être publiées avec un degré de détail raisonnable, mais toujours sans mentionner le partenaire de test.

      d. Signalement aux autorités : les vulnérabilités particulièrement graves sont signalées à l’Office fédéral de la cybersécurité (OFCS) ou au Préposé fédéral à la protection des données et à la transparence (PFPDT), également de manière anonyme.

      e. Rapport d’audit : une fois la mission d’audit terminée, le partenaire d’audit reçoit un aperçu complet de toutes les vulnérabilités identifiées.

    • Si aucune vulnérabilité n’est détectée, aucune publication n’est effectuée, afin de ne pas donner un faux signal de sécurité. Les fabricants qui ne reçoivent pas de rapport sur les failles de sécurité doivent continuer à investir dans la cybersécurité, car l’absence de détection ne signifie pas qu’il n’y a pas de vulnérabilités.

    • Le NTC est idéalement intégré dans le processus de développement des correctifs et encourage les fournisseurs à coopérer afin de garantir que les correctifs sont corrects et complets. Souvent, un correctif de code source est proposé pour corriger l’erreur. Dans les cas où un patch est incomplet ou incorrect, le NTC travaille avec le fournisseur pour le corriger. En outre, le NTC fait des recommandations pour renforcer le code, réduire les surfaces d’attaque et améliorer la conception, ce qui conduit souvent à des améliorations structurelles qui vont au-delà de la correction de défauts individuels. Cette coopération est un objectif à long terme du NTC.

    • Le NTC recommande aux organisations d’établir une politique de divulgation des vulnérabilités (Vulnerability Disclosure Policy - VDP) qui offre un cadre sûr pour signaler les vulnérabilités sans conséquences juridiques. Par exemple, selon : Divulgation de vulnérabilités - OWASP Cheat Sheet Series (en anglais). 

      Le fichier « /.well-known/security.txt » sur le site web est une mesure utile qui permet de trouver rapidement le contact de sécurité compétent. Enregistrez le contact de votre responsable de la sécurité conformément à : « Security.txt - Enregistrez un contact de sécurité sur votre site Internet »).

    Conditions juridiques générales pour le hacking éthique

    • Lors de l’analyse des points faibles, une série de questions se posent quant à une éventuelle punissabilité selon le droit pénal suisse. Néanmoins, la Cyberstratégie nationale CSN actuelle de la Confédération prévoit l’institutionnalisation du piratage éthique.

      Le NTC n’effectue pas de tests de sécurité sur les systèmes opérationnels en cours de fonctionnement sans déclaration de consentement explicite dans le cadre juridique.

    Réseau de compétences NTC

    • Le réseau de compétences est un groupe de spécialistes en cybersécurité de Suisse et de l’étranger. Le NTC contacte régulièrement le réseau lorsqu’il a besoin d’une expertise supplémentaire. Cela lui permet de s’assurer que les compétences nécessaires sont disponibles et que les demandes peuvent être traitées avec la qualité requise.