La transformation digitale ouvre de grandes perspectives pour les services publics et les entreprises, mais accroît aussi leurs vulnérabilités. Pour accompagner Maroc Digital 2030, le Royaume déploie une stratégie de cybersécurité ambitieuse, qui doit garantir un environnement numérique sûr et résilient.
L’accélération de la transformation digitale, portée par la stratégie Maroc Digital 2030, ouvre des perspectives inédites pour moderniser l’Administration, dynamiser l’économie et créer de nouvelles opportunités pour les citoyens comme pour les entreprises. Mais cette même dynamique élargit considérablement les surfaces d’attaque et multiplie les risques. Sans cybersécurité robuste, la confiance indispensable au succès du virage digital national resterait fragile. Le défi pour le Maroc est donc clair : associer ambition numérique et protection des systèmes pour bâtir un environnement digital sûr et durable.
Des attaques de plus en plus nombreuses et sophistiquées
La digitalisation accélérée a entraîné une explosion des cyberattaques au Maroc depuis la pandémie. Les incidents médiatisés, visant des organismes publics, ne représentent que la partie émergée de l’iceberg : institutions, entreprises et citoyens sont désormais tous exposés. Certaines sociétés ont perdu des sommes considérables pour récupérer des données compromises, tandis que les particuliers sont la cible croissante de campagnes d’hameçonnage par e-mail, SMS ou messageries instantanées.
L’alerte de l’Ausimètre : l’IA, nouveau facteur de risque
La deuxième édition de l’Ausimètre (PwC Maroc et AUSIM, mai 2025) confirme cette prise de conscience : « 73 % des entreprises marocaines placent désormais les risques cyber en tête de leurs priorités pour l’année à venir ». Mais le rapport souligne aussi que la généralisation du cloud, de l’intelligence artificielle et de l’Internet des objets introduit de nouvelles vulnérabilités. Ainsi, « un tiers des répondants estime que l’IA a déjà élargi leur surface d’attaque, devant le cloud cité par 30 % ». Les attaques s’appuient sur des techniques de plus en plus sophistiquées : phishing piloté par machine learning, deepfakes, malwares polymorphes… Pourtant, « 42 % des organisations reconnaissent ne pas avoir de politique interne pour encadrer l’usage de l’IA générative, et autant déplorent un manque de formation adaptée ». Pire encore, « 36 % admettent que leurs collaborateurs utilisent ces outils sans supervision », exposant l’entreprise à des risques accrus de fuite ou d’exploitation malveillante.
Une stratégie nationale pilotée par la DGSSI
Pour répondre à l’ampleur des menaces, le Maroc a lancé en juillet 2024 la Stratégie nationale de cybersécurité 2030, élaborée et pilotée par la Direction générale de la sécurité des systèmes d’information (DGSSI). Celle-ci repose sur quatre piliers : renforcer la gouvernance et le cadre réglementaire, protéger les infrastructures sensibles, développer les compétences nationales et consolider la coopération internationale. La stratégie se décline en 11 objectifs, 26 initiatives et près de 60 actions concrètes, couvrant aussi bien la mise à niveau des systèmes publics que la montée en puissance d’un écosystème national de sécurité. Elle traduit ainsi une volonté forte : faire de la cybersécurité un axe central de la souveraineté numérique du Royaume, en cohérence avec les ambitions de Maroc Digital 2030.
Des progrès à poursuivre
Cette mobilisation, qui avait démarré lors de la précédente stratégie, a déjà porté ses fruits. Selon l’indice global de cybersécurité de l’Union internationale des télécommunications, le Maroc a amélioré son classement en 2024, se plaçant parmi les pays africains les plus avancés en matière de protection des systèmes d’information et à la 34e place mondiale, avec un score de 97,5 sur 100. Cette progression illustre les efforts de structuration entrepris par la DGSSI, mais aussi le chemin qui reste à parcourir pour atteindre les standards internationaux les plus exigeants. L’enjeu est désormais d’assurer une mise en œuvre rigoureuse et homogène sur l’ensemble du territoire et des secteurs d’activité. Face à la multiplication des risques, la DGSSI et ses partenaires ont engagé des actions concrètes : déploiement de pare-feux de nouvelle génération, audits de sécurité, formation de cadres spécialisés ou encore création d’un centre d’innovation en cybersécurité en lien avec les universités, afin de faire progresser l’ensemble de l’écosystème.
Instaurer une culture de cybersécurité
Mais au-delà des technologies, c’est une véritable culture de cybersécurité qu’il faut diffuser dans les administrations et les entreprises. Le baromètre Ausimètre 2025 rappelle à ce titre que « les collaborateurs restent la première ligne de défense ». Plus de la moitié des répondants (52 %) misent sur la sensibilisation comme priorité, devant la gestion des identités et des accès (39 %) et la gouvernance de la sécurité (36 %). En effet, au quotidien, des pratiques courantes demeurent problématiques : recours à des adresses e-mail personnelles, transfert de documents sensibles via des messageries instantanées comme WhatsApp, usage non encadré d’applications d’IA générative… Autant de comportements regroupés sous le terme de « Shadow IT », qui fragilisent encore trop souvent les organisations. La montée en puissance de l’approche « Zero Trust », visant à limiter strictement les accès non autorisés, illustre cette évolution : la cybersécurité n’est plus seulement une affaire d’outils, mais de leadership, de gouvernance et de responsabilité collective. Pour progresser, le Maroc devra consolider la coordination entre acteurs publics et privés, et renforcer un cadre juridique encore en construction.
Thomas Brun
