Cybersécurité au Maroc

Les enjeux de la cybersécurité au Maroc

Sécuriser et contrôler l’information véhiculée par les systèmes d’information devient un enjeu de plus en plus pressant au vu du nombre croissant de cyberattaques dans le monde. Comment expliquer cette recrudescence de la cybercriminalité? Quels sont les enjeux de la cybersécurité au Maroc? Détails.

Le Rapport sur les risques mondiaux 2021 du Forum économique mondial classe les cyberattaques parmi les menaces clés de la décennie à venir, au même titre que les conditions météorologiques extrêmes, les dommages environnementaux occasionnés par l’Homme et les inégalités numériques. Sécuriser et contrôler l’information véhiculée par les systèmes d’information (SI) devient ainsi un enjeu de plus en plus pressant. « La cybercriminalité est en hausse depuis des années et ne montre aucun signe de ralentissement. La pandémie de la Covid-19 n’a fait qu’attiser la situation et accroitre la vulnérabilité informatique des entreprises notamment avec le recours au télétravail », constate Yamina Karima Belahcene,

Directrice des Systèmes d’Information de Richbond et membre du Bureau de l’Association des Utilisateurs des Systèmes d’Information du Maroc (AUSIM). Cette association créée en avril 1993 a pour objectif de développer et de vulgariser l’usage des technologies de l’information et du digital au Maroc.

Comment expliquer cette recrudescence de la cybercriminalité au Maroc ? D’après Omar Benaicha, Directeur Général Afrique & Moyen-Orient de Certi-Trust, entreprise spécialisée dans la confiance numérique, « cette augmentation et cette banalisation des cyberattaques sont dues au déploiement des moyens de connexion, à la plateformisation, au développement des cryptomonnaies ainsi qu’à la difficulté à prévenir et à réprimer la cybercriminalité ».

À cela s’ajoute également, « les menaces dopées aux intelligences artificielles », comme l’indique Yamina Karima Belahcene. « Forrester prophétise que, d’ici 2025, le marché des logiciels d’intelligence artificielle pèsera 37 milliards de dollars. Un marché en forte croissance et une zone grise propice aux cyberattaques. Les conséquences pourraient être terribles (black-out sur les villes, détournements d’avions, de drones, de voitures…) », précise-t-elle.

Avec le déploiement de la 5G à travers le monde, combiné à l’explosion annoncée des objets connectés et à l’utilisation croissante du cloud, la surface d’attaque semble incontrôlable, laissant la place à une connexion massive de technologies peu portées sur la question de la cybersécurité.

« Trois grandes menaces classiques guettent : l’espionnage industriel, l’arrêt pur et simple de l’activité et le détournement de la production (pour changer une préparation et altérer sa qualité). Déjà identifiés l’an passé, ces risques sont malheureusement toujours d’actualité », avertit Yamina Karima Belahcene. Ainsi, face au nombre croissant de cyberattaques, les pays, les organismes publics et les entreprises ne peuvent aujourd’hui qu’anticiper et mettre en place des actions pour faire face à des attaques avérées.

En juin 2021, l’Union Internationale des Télécommunications (UIT) dévoile dans le Global Cybersecurity Index (GCI) un engagement croissant dans le monde entier pour lutter et réduire les menaces de cybersécurité. Selon ce rapport, les pays s’efforcent d’améliorer leur cybersécurité malgré les défis du Covid-19 et le passage rapide des activités quotidiennes et des services socio-économiques à la sphère numérique. Environ la moitié des pays dans le monde déclarent avoir formé une équipe nationale de réponse aux incidents informatiques (CIRT), soit une augmentation de 11 % depuis 2018. 64 % des pays ont adopté une stratégie nationale de cybersécurité (SNC) jusqu’à la fin de l’année, tandis que plus de 70 % ont mené des campagnes de sensibilisation à la cybersécurité en 2020, contre 58 % et 66 % en 2018.

Le Maroc, cible des cyberpirates

Le Maroc occupe la 50e place mondiale sur 194 pays, d’après le GCI 2021, avec un score de 83,65 points sur 100. Les experts de l’UIT passent au crible les approches liées à la cybersécurité à travers cinq critères : aspects juridiques, niveau technologique, gouvernance, renforcement des capacités et coopération internationale. Le Maroc a obtenu un score de 18,40 pour les mesures légales, 17,94 pour les mesures techniques, 12,37 pour les mesures organisationnelles, 15,24 pour le développement des capacités ainsi que 18,46 pour les mesures de coopération le classant ainsi parmi les « pays en développement ». À l’échelle de la région MENA, le pays est classé à la 8e place derrière l’Arabie saoudite (2e mondiale), les Émirats arabes unis (5e), le Sultanat d’Oman (21e), l’Égypte (23e), le Qatar (27e), Israël (36e) et la Tunisie (45e). Il est aussi deuxième au Maghreb devant l’Algérie (104e), la Libye (113e) et la Mauritanie (133e).

En Afrique, il figure dans le top 5, derrière l’Île Maurice (17e), la Tanzanie (37e), le Ghana (43e) et la Tunisie. Pourtant, malgré des améliorations notables, le rapport indique qu’il existe encore des lacunes en matière de cybercapacité, notamment au niveau des CERT (service de veille) sectoriels et de la protection en ligne des enfants. Par ailleurs, selon un rapport de Kaspersky, entre avril et juin 2020, 13,4 millions de cyberattaques ont été détectées au Maroc. Trois tendances majeures ressortent de ce rapport : l’ingénierie sociale (techniques utilisées par les cybercriminels pour inciter des utilisateurs peu méfiants à leur envoyer leurs données confidentielles, infectant ainsi leurs ordinateurs avec des programmes malveillants), pour laquelle le Maroc est classé à la 32e place mondiale, les menaces locales (48e rang mondial) et le rôle des serveurs hébergés sur le territoire (61e position mondiale).

« Le Maroc a gagné en attractivité pour les investissements étrangers en Afrique, comme l’a indiqué par le laboratoire de recherche de Quantum Global, et même sur la région MENA. (…) Tous ces facteurs font du Maroc un lieu propice pour les cyberattaques que ce soit par des ransomwares ou hack one, breach many », souligne notre experte.

Conscient de l’exposition aux risques de cyberattaques, le Maroc s’est engagé depuis quelques années dans le renforcement des capacités de sécurité des systèmes d’information (SI). La première loi à être promulguée en matière de piratage informatique date de 2003 : la loi 07-03 complétant le Code pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisé des données.

En 2007, le pays se dote d’un cadre juridique portant sur la cryptographie, la signature électronique et la certification électronique avec la loi 53-05. Le renforcement du cadre légal se poursuit en 2009 avec la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et la création de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP). Sur le plan réglementaire, le Maroc met en place en 2011 le Comité Stratégique de la Sécurité des Systèmes d’Information (CSSSI) et la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI) relevant de l’Administration de la Défense Nationale du Maroc et chargée de la gestion du centre de veille, de détection et de réponse aux attaques informatiques (maCERT), de la stratégie et de la réglementation, de l’assistance, de la formation, du contrôle et de l’expertise et des SI sécurisés.

En 2012, le Maroc lance une stratégie nationale en matière de cybersécurité en vue d’assurer la protection des SI des administrations, organismes publics et infrastructures d’importance vitale. Celle-ci est articulée autour de quatre axes : évaluer les risques pesant sur les SI au sein des administrations, organismes publics et infrastructures d’importance vitale ; protéger et défendre les SI des administrations, organismes publics et infrastructures d’importance vitale ; renforcer les fondements de la sécurité à travers un cadre juridique, la sensibilisation, la formation et la recherche & développement ; et promouvoir et développer la coopération nationale et internationale. En 2013, dans le cadre de cette stratégie, la DGSSI mettra en œuvre la Directive Nationale de la Sécurité des Systèmes d’Information (DNSSI) dont l’objectif est d’élever et d’homogénéiser le niveau de protection et le niveau de maturité de la sécurité de l’ensemble des SI des administrations et organismes publics ainsi que des infrastructures d’importance vitale. En juillet 2020, la Chambre des Représentants a adopté le projet de loi n° 05-20 relatif à la cybersécurité, dans le but de renforcer l’arsenal juridique en matière de lutte contre les cyberattaques et les cybercrimes, compte tenu des menaces croissantes auxquelles l’État, les institutions publiques et les entreprises font face. C’est ainsi qu’est publié au Bulletin Officiel, le 9 août 2021, le décret n° 2.21.406 portant application de la loi 05-20 relative à la cybersécurité, élaboré par l’administration de la Défense Nationale.

Ce décret vise à définir les mesures de protection des SI des administrations de l’État, des établissements et entreprises publics et toute autre personne morale de droit public, ainsi que ceux des infrastructures d’importance vitale et des opérateurs privés. Il détermine également les critères de qualification des prestataires de services d’audit et des prestataires de services de cybersécurité.

« Le décret définit en outre les organes chargés de la cybersécurité ainsi que leur composition et leurs modalités de fonctionnement. En premier l’Autorité nationale de cybersécurité à laquelle est confiée la mise en œuvre de la stratégie de l’État dans le domaine de la cybersécurité. Cette instance réfère à la DGSSI. Le deuxième organe de gouvernance n’est autre que le Comité stratégique de la cybersécurité dont la création est dictée par l’article 35 de la loi n° 05-20. Il se compose des différents départements gouvernementaux et des institutions concernés. », explique Yamina Karima Belahcene.

Un niveau de maturité est très disparate

Mais, malgré cet arsenal juridique dont dispose le Maroc, il reste encore des efforts à faire. Le secteur privé, et tout particulièrement les PME, reste relativement en retard en matière de stratégie, de formation et de sensibilisation à la cybersécurité. Cette situation s’explique par de multiples facteurs qui sont non seulement liés aux budgets attribués à la sécurité des SI ou à la protection des données personnelles et professionnelles, mais aussi à l’absence d’une réelle culture de la cybersécurité.

« Les cyberattaques pèsent quotidiennement sur toutes les entreprises marocaines, y compris les TPE, mais certaines entreprises ne se penchent sur leur sécurité qu’après avoir essuyé une cyberattaque. Avec l’adoption des lois et directives, les entreprises et administrations ont commencé à mettre en place des stratégies pour sécuriser les SI », indique Youssef Bencharhi, CEO et cofondateur de NearSecure, société marocaine de conseil et d’intégration en cybersécurité.

Emmanuel Cheriet, Directeur Maghreb et Afrique de l’Ouest de Orange Cyberdefense, explique, pour sa part, que « le Maroc accélère sa structuration en la matière depuis plusieurs années, mais, comme dans tous les pays, le niveau de maturité est très disparate selon le secteur d’activité ou la taille de l’entreprise.

De manière générale, les entreprises de petite taille disposant de peu de moyens sont moins matures que les grands groupes. Le secteur bancaire est très souvent le plus mature de par son ADN qui est basé sur la confiance et les SI. La prise de conscience est donc là, mais il faut encore travailler sur la priorisation de ces aspects qui sont encore vus par certains comme une contrainte et non un vecteur d’amélioration ou de business ».

Confrontées à de nombreux types de menaces, allant du simple espionnage au détournement ou encore à la destruction d’informations à valeur commerciale, les conséquences d’une cyberattaque peuvent pourtant s’avérer désastreuses pour l’image et la réputation d’une entreprise. Les conséquences peuvent être encore plus désastreuses pour ses finances ou même ses clients.

« Le Maroc, pays à l’économie ouverte et libérale qui enregistre un taux de connexion élevé, reste l’une des cibles favorites des cyberpirates. De ce fait, la protection des serveurs, des applications (web en particulier) et des réseaux (informatiques et industriels) devient un enjeu capital de la sécurisation qui passe également par une véritable chasse aux vulnérabilités. L’enjeu pour ces entreprises est aussi de favoriser la confiance en faisant preuve de transparence dans la collecte de données, la communication des protocoles et la protection des consommateurs. Il s’agit d’un enjeu de confiance, ni plus ni moins, comme le souligne Cédric Mauny. Sans confiance, pas de business ni de transformation numérique. Investir dans la sécurité doit avant tout servir à protéger l’utilisateur et la vie privée du client et à préserver l’activité de l’entreprise durablement », insiste Yamina Karima Belahcene.

En 2018, l’AUSIM a réalisé une étude sur le marché marocain de la cybersécurité qui indique que la très grande majorité des entreprises est consciente de l’importance de la cybersécurité, mais que les moyens consacrés sont insuffisants.

Ainsi, selon cette enquête qui a porté sur les grandes entreprises du secteur tertiaire : 84 % des entreprises ont mis au point un programme de cybersécurité ; 86 % offrent des programmes de formation ou de sensibilisation à leurs employés ; 86 % ont adopté une ou plusieurs normes de sécurité (ISO 27001, DNSSI…) ; 63 % des organisations ont deux employés ou moins affectés à la cybersécurité ; 62 % investissent moins d’un million de dirhams par an dans la cybersécurité ; et seulement 45 % prévoient augmenter ce montant à court terme.

L’étude révèle également que plus des trois quarts des organisations ont procédé à un audit de cybersécurité, mais la majorité ne l’a effectué qu’une seule fois, alors que pour être efficace, un audit doit être mené régulièrement.

« La pandémie de la Covid-19 a contraint les entreprises à accélérer les processus de numérisation et de dématérialisation qui se sont ainsi trouvées confrontées à une exposition croissante aux cyberattaques. Les conséquences de la pandémie conjuguées aux contraintes de la loi 05-20 relative à la cybersécurité, obligent ainsi les entreprises à acquérir les moyens nécessaires pour assurer la sécurité de leurs SI », poursuit Yamina Karima Belahcene.

En effet, d’après Omar Benaicha, au regard du risque très important que représente la cybersécurité dans les cartographies des grands organismes publics ou privés, c’est un sujet qui devient récurrent dans les ordres du jour des COMEX. Dans la plupart des grandes entreprises, des RSSI (Responsables Sécurité des systèmes d’Information) sont nommés depuis déjà quelques années, et certaines ont déjà mis en œuvre des certifications comme l’ISO 27001.

La situation est cependant différente au niveau des PME qui accusent un retard, alors que le pays connaît une accélération de la digitalisation. « Au-delà de la cybersécurité, c’est la souveraineté numérique qui est maintenant en jeu, ce que plusieurs pays ont commencé à réaliser avant de s’atteler à développer une stratégie d’anticipation et de cyberdéfense. Aujourd’hui, si les grands groupes ont les moyens de se mettre à niveau, il sera toutefois nécessaire de prévoir des programmes de soutien aux PME ou du moins de construire un écosystème de la cybersécurité. Dans cet écosystème, les PME pourront accéder à un minimum de services en matière de formation, de certification, de services et de solutions de cybersécurité. Il en va de leur compétitivité et de leur pérennité. C’est une urgence nationale exacerbée par la rareté croissante des compétences en matière de cybersécurité », conclut Omar Benaicha.

Dounia Z. Mseffer

 

Cybersecurite

Articles à la une