zum Inhalt springen

    Rétrospective 2025: Identifier les vulnérabilités, renforcer la sécurité

    Tags:

    En 2025, l’Institut national de test pour la cybersécurité NTC a mené de nombreux contrôles indépendants de cybersécurité présentant une forte pertinence pour l’économie, l’administration et la société. Ces analyses ont mis en évidence des vulnérabilités concrètes, permis leur correction ciblée et contribué de manière mesurable au renforcement de la résilience numérique de la Suisse. L’Institut a ainsi consolidé son rôle d’instance indépendante d’évaluation des produits et applications numériques.

    L’indépendance et la neutralité du NTC constituent le fondement de contrôles bénéficiant d’une haute crédibilité, en particulier pour les autorités, les exploitants d’infrastructures critiques et d’autres systèmes présentant des exigences élevées en matière de sécurité. Grâce à une expertise technique étendue en sécurité matérielle, systèmes de contrôle industriels, sécurité web et mobile ainsi qu’en technologies radio, le NTC s’est établi comme un centre de compétences multidisciplinaire.

    2026-nl-12-ntc

    L’une des caractéristiques clés du mandat du NTC réside dans son mécanisme d’analyse proactif: l’Institut procède à des contrôles de sa propre initiative lorsque des risques pour le public sont identifiés. Cette approche crée une valeur ajoutée directe pour la collectivité, notamment dans les domaines où les bases légales ou les incitations économiques font défaut.

    Aperçu des principaux contrôles réalisés en 2025 

    Systèmes d’information hospitaliers (SIH)
    Dans plusieurs hôpitaux suisses, le NTC a réalisé des analyses techniques de sécurité portant sur trois des solutions de systèmes d’information hospitaliers les plus utilisées. Menées sur une durée d’un an, ces analyses ont révélé des vulnérabilités graves au cœur des systèmes informatiques du secteur de la santé. Les fabricants ont été informés et des mesures correctives ont été engagées. Le rapport publié début 2025 formule des recommandations concrètes visant à renforcer durablement la cybersécurité.
    Vers le rapport SIH

    Installations photovoltaïques
    En collaboration avec des partenaires nationaux, le NTC analyse actuellement de nombreux onduleurs et systèmes de gestion de l’énergie sous l’angle de la cybersécurité. La mise en réseau croissante des installations photovoltaïques engendre de nouveaux risques systémiques pour la sécurité d’approvisionnement. Les analyses visent à identifier précocement les vulnérabilités, à rendre visibles les dépendances et à formuler des recommandations opérationnelles. Le rapport synthétique est attendu pour l’été 2026.
    Vers l’article Photovoltaïque

    Logiciels open source
    Dans le cadre d’un projet pilote mené avec l’Office fédéral de la cybersécurité (OFCS), le NTC a analysé les solutions open source TYPO3 et QGIS. Les vulnérabilités identifiées ont été corrigées par les communautés de développement. Le projet démontre que des analyses ciblées renforcent la sécurité des logiciels open source et contribuent de manière tangible à la cyber-résilience de la Suisse. Le rapport a été publié en octobre 2025, les détails techniques étant disponibles sur le Vulnerability Hub.
    Vers les rapports
    Vers les détails techniques dans le Vulnerability Hub

    Périphériques
    Le NTC a analysé la cybersécurité de casques, claviers et systèmes de salles de conférence. Les résultats montrent que des périphériques apparemment anodins peuvent constituer des vecteurs d’attaque sérieux, y compris dans des environnements informatiques renforcés. Des vulnérabilités particulièrement critiques ont été identifiées dans les solutions de salles de réunion. Le projet a été soutenu par des autorités fédérales, des cantons et des banques.
    Le rapport synthétique sera publié au printemps 2026.

    Appareils grand public sans fil
    Les montres connectées pour enfants, caméras pour bébés et routeurs WLAN figurent parmi les appareils les plus répandus communiquant sans fil via WLAN, Bluetooth, 5G ou d’autres technologies radio. En amont de l’entrée en vigueur de la directive sur les équipements radio (RED) le 1er août 2025, le NTC a examiné un large éventail de ces produits dans le cadre de contrôles ciblés de cybersécurité. Résultat: de nombreux modèles ne satisfont pas aux nouvelles exigences de cybersécurité. Le NTC constate dès lors un besoin d’action urgent tout au long de la chaîne d’approvisionnement. 
    Vers le rapport

    Test d’aptitude numérique pour les candidats à l’apprentissage
    Dans le processus de candidature, les tests d’aptitude numériques constituent un élément central pour de nombreux apprentis. L’analyse de sécurité réalisée par le NTC a mis en évidence des vulnérabilités critiques, qui ont été corrigées sans délai par les fabricants. Le projet a été soutenu par des associations professionnelles et des partenaires du secteur privé.

    Renforcer la sensibilisation aux contrôles de cybersécurité
    À la suite de la manifestation annuelle du NTC organisée à Berne le 27 août 2025 en collaboration avec l’OFCS et avec la participation du Conseiller fédéral Martin Pfister, le NTC a organisé le 14 janvier 2026, conjointement avec l’OFCS, l’Office fédéral de la communication (OFCOM) et des institutions locales, une manifestation d’impulsion au Tessin.

    2026-nl-12-ntc-event-bern

    Les deux événements se sont tenus sous le titre «Sécurité nationale à l’ère numérique – l’importance de produits numériques exempts de vulnérabilités». Plus de 100 personnes ont pris part à chacun des deux événements, représentant l’économie, la science, la politique et les autorités, et ont débattu de la vision d’un avenir numérique plus sûr ainsi que des moyens pour renforcer conjointement la résilience de la Suisse.
    Retour sur l'événement à Berne
    Retour sur l'événement dans le Tessin

    Prochaines étapes

    L’objectif du NTC demeure inchangé: en tant qu’organisation indépendante, il entend poursuivre le développement des contrôles de produits et d’applications numériques, en particulier dans les domaines où les bases légales ou les incitations économiques sont insuffisantes. Il contribue ainsi de manière essentielle à la sécurité numérique de la Suisse.
    Des décisions structurantes sont actuellement en préparation afin d’assurer le développement durable et la consolidation à long terme du NTC. Les mesures prévues déploieront leurs effets au plus tôt à partir de 2027 et renforceront la base financière.

      Base légale et futurs mandats fédéraux
      Avec l’adoption de la motion de la Commission de la politique de sécurité du Conseil des États (CPS-E) «Réalisation de contrôles de cybersécurité urgents et nécessaires», la lacune existante en matière de contrôles indépendants a été officiellement reconnue. Les départements DEFR (SECO), DDPS (OFCS) et DETEC (OFCOM) élaborent actuellement la base légale nécessaire à sa mise en œuvre.

      Coopération de recherche avec l’EPF Zurich
      Une coopération stratégique est prévue dans les domaines de la cybersécurité et de l’intelligence artificielle, incluant le financement de deux chaires de l’EPF Zurich au NTC, avec le soutien du canton de Zoug. Une décision du parlement cantonal est attendue en juin 2026. 

      Demande croissante
      Le nombre de mandats de contrôle émanant des autorités et des exploitants d’infrastructures critiques a continué d’augmenter au cours de l’exercice. Cette évolution permet à l’institut à but non lucratif de réaliser davantage de projets d’initiative au bénéfice de la collectivité, un pilier central de l’activité d’utilité publique du NTC et un indicateur de l’importance croissante à l’échelle nationale des contrôles indépendants de cybersécurité.

      Remerciements

      Le NTC remercie expressément le canton de Zoug, ainsi que ses partenaires OFCS, OFCOM et EPF Zurich, de même que la fondation Asuera, Beisheim Holding et la Banque cantonale de Zoug, pour leur précieux soutien financier et de contenu.

      Observation des médias

      En 2025, notre travail a été évoqué par de nombreux médias. En voici une sélection:

        • SRF 10 vor 10, 18 novembre 2025: Schweiz: Cyber-Angriffe leicht rückläufig
          Vers SRF 10 vor 10
        • News Service Bund, 13 octobre 2025: Pilotprojekt zur Prüfung von Sicherheitslücken in Open Source Software
          Vers le News Service Bund
        • SRF Espresso, 19 août 2025: Vernetzt, aber sicher: neue Regeln für «smarte» Geräte
          Vers SRF Espresso
        • Netzwoche Online, 22  mai 2025: Ab August gelten neue Cybersicherheitsregeln für funkfähige Geräte
          Vers Netzwoche Online
        • 24heures Online, 22 mai 2025: De nombreux appareils connectés risquent d’être interdits
          Vers 24heures Online
        • Tagesschau, 23 janvier 2025: NTC: Schweizer Spitäler haben gravierende IT-Sicherheitslücken
          Vers Tagesschau