📄 Source et contexte : Ce document est le rapport annuel « La Sécurité de la Suisse 2026 » publié par le Service de renseignement de la Confédération (SRC), clôturé en mai/juin 2026. Il couvre l’ensemble des menaces pesant sur la Suisse dans les domaines du terrorisme, de l’espionnage, de la prolifération et des infrastructures critiques, avec une dimension cyber significative.

🌐 Environnement stratégique et cybermenaces : Le rapport identifie la Russie comme la menace la plus sérieuse et la plus aiguë pour la sécurité européenne. La Russie a fortement intensifié son conflit hybride en Europe, incluant des cyberattaques, des actes de sabotage physique et des activités d’influence. Des cyberattaques contre des cibles à l’étranger s’effectuent également à travers des infrastructures suisses. La Chine représente également une menace hybride croissante, combinant instruments économiques, technologiques et cyber.

🎯 Menaces contre les infrastructures critiques : Les cyberacteurs étatiques russes, chinois, iraniens et nord-coréens représentent la cybermenace la plus concrète pour l’État suisse. Ces acteurs disposent de capacités techniques avancées et ciblent :

  • Les informations politiques des autorités suisses (politique de sécurité et étrangère)
  • Les hautes écoles et institutions scientifiques
  • Les opérateurs de télécommunications
  • Les prestataires informatiques (chaîne d’approvisionnement)

🔓 Techniques d’attaque identifiées : Le rapport décrit plusieurs vecteurs d’attaque :

  • Spearphishing (courriels personnalisés ciblant des employés de l’administration)
  • Exploitation de vulnérabilités zero-day et de logiciels obsolètes
  • Exploitation de failles dans les équipements réseau exposés à Internet (routeurs, pare-feu)
  • Compromission via applications de messagerie pour accéder aux téléphones mobiles
  • Utilisation de réseaux d’anonymisation (bulletproof hosting, serveurs loués en Suisse)
  • Rançongiciels : 1 à 2 attaques par mois contre des infrastructures critiques suisses

🏗️ Infrastructure d’attaque via la Suisse : Des cyberacteurs étatiques chinois et russes utilisent des serveurs loués auprès de fournisseurs suisses (via des revendeurs/bulletproof hosting) pour espionner des cibles militaires et politiques à l’étranger et mener des cybersabotages. Les réseaux d’anonymisation s’étendent sur plusieurs continents.

🕵️ Espionnage : La Suisse fait face à une menace très élevée en matière d’espionnage. La Russie (SVR, GRU) et la Chine sont les principales sources. Les services russes exploitent des réseaux d’agents en Suisse pour l’espionnage, l’influence politique, la propagande, la désinformation et l’acquisition de biens sous sanctions. La Chine adopte une approche globale de collecte de données, incluant potentiellement les données générées par les véhicules connectés chinois.

🤖 Intelligence artificielle et nouvelles technologies : Le rapport souligne que l’IA est utilisée par les cyberacteurs étatiques pour conduire des attaques plus efficacement. Les algorithmes de plateformes comme TikTok favorisent les processus de radicalisation. La technologie des drones est de plus en plus utilisée par des groupes islamistes violents.

📊 Chiffres clés 2025 : Le SRC a traité 209 mesures de recherche soumises à autorisation, dont 112 liées aux attaques visant des infrastructures critiques. Il a échangé 13 308 communications avec des services partenaires étrangers et transmis 3 887 communications à ces mêmes services.

📋 Nature du document : Il s’agit d’un rapport institutionnel annuel de renseignement à destination des décideurs politiques, militaires et des autorités de poursuite pénale suisses, visant à dresser un tableau complet de la situation sécuritaire de la Suisse.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • SVR (state-sponsored) —
  • GRU (state-sponsored) —
  • Cyberacteurs étatiques chinois (state-sponsored) —
  • Cyberacteurs étatiques iraniens (state-sponsored) —
  • Cyberacteurs étatiques nord-coréens (state-sponsored) —
  • Groupes hacktivistes pro-russes (hacktivist) —
  • Groupes hacktivistes pro-palestiniens (hacktivist) —

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1203 — Exploitation for Client Execution (Execution)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1588.004 — Obtain Capabilities: Digital Certificates (Resource Development)
  • T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
  • T1090 — Proxy (Command and Control)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
  • T1657 — Financial Theft (Impact)
  • T1195 — Supply Chain Compromise (Initial Access)

Malware / Outils

  • Rançongiciel (ransomware)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ cms.news.admin.ch — source non référencée (0pts)
  • ✅ 194019 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 12 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : SVR, GRU, Cyberacteurs étatiques chinois (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://cms.news.admin.ch/fileservice/sdweb-docs-prod-nsbcch-files/files/2026/06/25/0a828625-3a75-4b22-8651-db7c55cfa4cb.pdf