Que s’est-il passe ?
En juin 2025, la Fondation Radix, une organisation suisse active au niveau national dans la promotion de la sante et la prevention, a ete victime d’une attaque ransomware par le groupe Sarcoma. Les attaquants ont chiffre les systemes de la fondation et exfiltre des donnees confidentielles — y compris des documents sensibles de la Confederation stockes dans le cadre de mandats aupres de Radix.
Lorsque la fondation n’a pas paye la rancon, Sarcoma a publie les donnees volees sur son site de fuites dans le Darknet. L’incident est ainsi devenu une attaque Supply Chain : ce n’est pas l’administration federale elle-meme qui a ete piratee, mais un prestataire externe agissant pour le compte de la Confederation.
Le cas rappelle l’incident Xplain de 2023, lors duquel un prestataire externe de la Confederation avait egalement ete pirate et des donnees federales s’etaient retrouvees sur le Darknet.
Qui a ete touche ?
La Fondation Radix est une organisation d’utilite publique qui developpe et met en oeuvre des programmes de promotion de la sante et de prevention des addictions pour le compte de la Confederation, des cantons et des communes. Elle travaille en etroite collaboration avec l’Office federal de la sante publique (OFSP).
- La Fondation Radix elle-meme : systemes operationnels chiffres, exploitation perturbee pendant des semaines
- Autorites federales : documents confidentiels stockes dans le cadre de mandats federaux publies sur le Darknet
- Cantons et communes : donnees de projets realisees pour des mandants cantonaux et communaux egalement touchees
- Personnes cibles des programmes : personnes en situation vulnerable — personnes souffrant d’addictions, de troubles psychiques, jeunes dans des programmes de prevention — dont les donnees sont potentiellement consultables sur le Darknet
- Confiance dans le secteur public : l’incident sape la confiance dans la capacite de l’Etat a proteger les donnees de ses citoyens tout au long de la chaine d’approvisionnement
Quelle a ete l’ampleur des dommages ?
| Categorie de dommage | Cout estime |
|---|---|
| Reponse aux incidents et forensique | CHF 150 000-300 000 |
| Restauration des systemes et reconstruction IT | CHF 100 000-250 000 |
| Conseil juridique (LPD, donnees federales) | CHF 100 000-200 000 |
| Communication de crise | CHF 50 000-100 000 |
| Notification des personnes concernees | CHF 30 000-80 000 |
| Interruption d’exploitation (retards de projets) | CHF 200 000-500 000 |
| Atteinte a la reputation et perte de confiance | Difficilement quantifiable |
| Dommage politique (Confederation, cantons) | Non chiffrable monetairement |
| Dommage total direct estime | CHF 630 000-1,4 mio. |
Bien que les couts directs paraissent moderes par rapport aux grandes entreprises, ils peuvent menacer l’existence d’une fondation a budget limite.
Une cyberassurance aurait-elle aide ?
Analyse des couts et couverture d’assurance
| Poste de cout | Cout estime | Couvert par la cyberassurance ? |
|---|---|---|
| Reponse aux incidents et forensique | CHF 150 000-300 000 | Oui — prestation cle de toute police |
| Restauration des systemes et reconstruction IT | CHF 100 000-250 000 | Oui — generalement couvert |
| Conseil juridique (LPD, donnees federales) | CHF 100 000-200 000 | Oui — composante protection juridique |
| Communication de crise | CHF 50 000-100 000 | Oui — souvent inclus |
| Notification des personnes concernees | CHF 30 000-80 000 | Oui — obligation reglementaire |
| Interruption d’exploitation | CHF 200 000-500 000 | Oui — jusqu’au plafond de couverture |
| Atteinte a la reputation | Difficilement quantifiable | Non — non assurable |
| Consequences politiques | Non monetaire | Non — non assurable |
| Dommage total estime | CHF 630 000-1,4 mio. | ~70-85 % potentiellement couvert |
Conclusion : Une cyberassurance avec un plafond de couverture de CHF 1-2 millions (prime annuelle env. CHF 3 000-8 000) aurait absorbe la majeure partie des couts directs. L’acces immediat a des specialistes en reponse aux incidents est particulierement precieux pour les organisations sans departement de securite informatique propre.
Enseignements pour les PME suisses
-
Les attaques Supply Chain frappent les plus faibles : Les attaquants visent deliberement les petits prestataires pour acceder aux donnees de grands donneurs d’ordre.
-
Les donnees federales et des autorites exigent une protection particuliere : Toute entreprise travaillant pour le secteur public est soumise a des devoirs de diligence accrus.
-
Les organisations a but non lucratif sont particulierement vulnerables : Les ONG, fondations et associations disposent rarement de budgets dedies a la securite IT, mais traitent souvent des donnees hautement sensibles.
-
La segmentation des donnees est obligatoire : Les donnees liees aux mandats doivent etre stockees de maniere strictement separee.
-
L’incident Xplain n’a rien change : Deja en 2023, le cas Xplain avait demontre les risques. Qui n’apprend pas des incidents des autres devient lui-meme victime.
-
Obligation de notification et transparence : L’incident doit etre signale au NCSC et au PFPDT. Une cyberassurance aide a respecter toutes les obligations reglementaires.
Protegez votre entreprise
Le cas Radix le demontre : meme de petites organisations peuvent devenir le centre d’une crise nationale de protection des donnees suite a une cyberattaque. Surtout si vous travaillez pour le compte d’autorites ou de grandes entreprises, vous devez maintenir votre cybersecurite a jour.
Demandez un conseil sans engagement. Les experts de BTAG Versicherungsbroker AG a Berne analysent votre profil de risque individuel et trouvent la cyberassurance adaptee a votre organisation — de maniere independante et transparente.