Nous sommes en décembre. Dans quelques semaines, le Forum économique mondial attirera l’attention du monde entier sur la Suisse et celle des hacktivistes sur nos infrastructures.
L’Office fédéral de la cybersécurité (OFCS) vient de publier ses alertes. Ce n’est pas un cygne noir à la Nassim Taleb : l’imprévisible. C’est un rhinocéros gris au sens de Michele Wucker : une menace visible, annoncée, qui charge droit sur nous.
La question n’est pas de savoir si ça arrivera. C’est de savoir si vous serez prêts.
Pourquoi cette alerte?
Les grands événements médiatisés (Forum économique mondial, conférences internationales) sont des cibles privilégiées.
L’objectif des attaquants : perturber les services en ligne et gagner en visibilité pour leur cause politique.
Le groupe NoName057(16) a déjà ciblé la Suisse par le passé. Il sera probablement actif en janvier.
Êtes-vous concerné?
Oui, si votre organisation :
- Participe ou contribue à un événement international
- Se trouve à proximité géographique de l’événement
- Porte un nom qui pourrait être associé à l’événement
- Fait partie de l’infrastructure critique suisse
Mais attention : des organisations sans lien apparent peuvent aussi être touchées.
Quel type d’attaque ?
Principalement des attaques DDoS de couche applicative. Contrairement aux attaques qui saturent votre connexion internet, celles-ci :
- Ressemblent à du trafic normal
- Ne déclenchent pas toujours les protections automatiques
- Ciblent des pages spécifiques de votre site (formulaires, recherches, connexion)
En pratique : des milliers de requêtes simultanées sur vos services web, comme si des milliers d’utilisateurs cliquaient en même temps sur votre site.
Quelques termes à connaître
CDN (Content Delivery Network) : réseau de serveurs répartis dans le monde qui copient votre site et le servent au plus proche de vos visiteurs. En cas d’attaque, c’est le CDN qui absorbe le choc, pas votre serveur. Exemples : Cloudflare, Akamai.
EDR/XDR (Endpoint/Extended Detection and Response) : logiciel de sécurité nouvelle génération. Contrairement à un antivirus classique qui cherche des signatures connues, il analyse les comportements suspects en temps réel et peut bloquer une attaque inconnue. Exemples : CrowdStrike, Microsoft Defender for Endpoint.
Checklist : avant l’événement
Protection de vos sites web
☐ Vos sites critiques sont protégés par une solution anti-DDoS (proposée par votre hébergeur ou fournisseur internet)
☐ Vous utilisez un CDN
☐ Votre infrastructure peut absorber des pics de charge inhabituels
☐ Les systèmes non essentiels peuvent être mis hors ligne rapidement
☐ Vous avez limité le nombre de requêtes par utilisateur sur vos formulaires et services en ligne
☐ Les fonctions gourmandes (recherche avancée, exports) peuvent être protégées par un CAPTCHA si nécessaire
Détection des menaces
☐ Vous utilisez un EDR/XDR sur vos postes et serveurs
☐ Vous vérifiez régulièrement vos logs de sécurité (antivirus, pare-feu, VPN)
☐ Vous avez activé un monitoring renforcé pendant la période à risque
Accès et authentification
☐ Tous les accès distants (VPN, webmail, etc.) utilisent l’authentification à deux facteurs
☐ Les accès fournisseurs et partenaires sont également sécurisés
Mises à jour
☐ Les correctifs de sécurité critiques sont appliqués sous 24h
☐ Les systèmes en fin de vie sont isolés ou désactivés
Sauvegardes
☐ Vous avez des sauvegardes offline récentes
☐ Elles sont physiquement déconnectées du réseau
Organisation et communication
☐ Les contacts de crise sont à jour et joignables pendant les fêtes
☐ Vous avez les numéros de téléphone directs, pas seulement les emails
☐ Les responsables peuvent modifier les règles de sécurité à distance
☐ Votre fichier security.txt est publié sur votre site
☐ Une page de maintenance est prête à être activée
☐ Vous savez comment informer vos clients si votre site tombe (réseaux sociaux, SMS, téléphone)
Préparation technique
☐ La liste d’IP malveillantes du GovCERT est intégrée à vos blocages
☐ Vos protections ont été testées récemment
Checklist : pendant une attaque
☐ Confirmer que la protection DDoS est active
☐ Identifier les IP sources et les bloquer si possible
☐ Envisager un blocage géographique temporaire si les attaques viennent de l’étranger
☐ Activer la page de maintenance si nécessaire
☐ Documenter l’attaque (logs, IP, heures)
☐ Contacter l’OFCS : incidents@govcert.ch
☐ Attention au sur-blocage qui pourrait affecter vos utilisateurs légitimes
Ressources utiles
• Liste d’IP malveillantes GovCERT : github.com/govcert-ch/CTI
• Signaler un incident : report.ncsc.admin.ch
• Guide cybersécurité PME : ncsc.admin.ch/it-sicherheit-fuer-kmus
Sources
Cet article synthétise les publications de l’OFCS (TLP:CLEAR) :
• NCSC DDoS Attack Guidance for Exposed Events (novembre 2025)
• Increasing cyber resilience in the context of major events and international conferences
Besoin d’accompagnement ?
Vous souhaitez évaluer votre niveau de préparation ou mettre en place ces mesures ? Contactez-nous.
