La cybersécurité est devenue un enjeu stratégique au Maroc, porté par une digitalisation accélérée qui accroît les risques. Les menaces, de plus en plus ciblées, exploitent autant les failles humaines que techniques. Le défi est désormais collectif : sécuriser tout l’écosystème pour éviter une protection à deux vitesses.
Il y a encore quelques années, la cybersécurité était perçue comme une affaire de techniciens. Un sujet discret, relégué aux directions informatiques. Ce n’est plus le cas. Elle s’impose aujourd’hui comme un enjeu central pour les entreprises, au même titre que la finance ou la stratégie. Car derrière chaque attaque, il n’y a plus seulement un bug ou une faille, mais un risque opérationnel, financier et réputationnel. Le Maroc est pleinement entré dans cette réalité. Porté par une transformation digitale rapide, le pays a multiplié les usages numériques, côté entreprises comme côté administration. Mais cette accélération a un revers. « Plus les entreprises se digitalisent, plus le risque explose », résume Jérémy Dubourg, cofondateur de D&A Trust.
Plateformes en ligne, services dématérialisés, interconnexions croissantes : chaque avancée crée de nouveaux points d’entrée pour les attaquants. Cette exposition est d’autant plus forte que le Royaume est devenu une cible structurée. Les attaques ne sont plus seulement opportunistes. Elles s’inscrivent dans des logiques économiques, parfois géopolitiques. Et surtout, elles évoluent. Après les rançongiciels, place aux campagnes de phishing ciblées, à l’ingénierie sociale, ou encore aux fraudes dites « au président », qui exploitent les failles humaines plus que techniques. « Le maillon faible reste l’humain », insiste Jérémy Dubourg.
L’épisode de la CNSS a marqué un tournant. Au-delà de la fuite de données, il a révélé une réalité plus profonde : une cyberattaque ne s’arrête jamais à l’incident initial. Elle se prolonge, se diffuse, se transforme. Une base de données compromise devient un levier pour d’autres attaques, plus ciblées, plus efficaces. Pour les entreprises, le risque devient systémique. Un écosystème à structurer pour éviter la fracture Face à cette montée en puissance, la prise de conscience est réelle. « Aujourd’hui, tout le monde est une cible potentielle », observe Mohamed Amin Lemfadli, fondateur de Trust and Security Consulting. Le sujet est désormais porté au niveau des directions générales, avec des budgets, des audits et des stratégies dédiées.
Dans certains secteurs, notamment la finance, la cybersécurité est déjà intégrée comme un pilier de gouvernance. Mais cette dynamique reste inégale. Derrière les grandes entreprises, mieux armées, un large tissu de TPME demeure vulnérable. Le coût des solutions, la rareté des compétences et l’absence de structuration freinent leur montée en maturité. Dans bien des cas, la sécurité reste cantonnée à des aspects techniques, sans véritable pilotage stratégique. « Dans la majorité des audits, le problème principal reste la gouvernance », souligne Lemfadli.
Le risque est clair : voir émerger une cybersécurité à deux vitesses, où seuls les acteurs les mieux dotés seraient réellement protégés. Or, dans une économie interconnectée, la fragilité des uns devient la vulnérabilité de tous. Le Maroc a pourtant engagé des efforts importants pour structurer son approche. Stratégie nationale, renforcement des capacités de veille et de réaction, montée en compétence des équipes : les bases sont posées. Les retours sur la gestion de grands événements récents, comme la CAN, sont plutôt encourageants, avec des capacités de détection et de réaction jugées rapides. Mais des angles morts persistent.
Le manque de données publiques sur les attaques complique la lecture globale du risque. L’écosystème local, bien que compétent, peine encore à gagner la pleine confiance de certaines entreprises, qui continuent de privilégier des acteurs internationaux. Et surtout, la question du financement reste centrale : comment faire émerger des solutions locales, adaptées aux réalités des entreprises marocaines ?
Derrière ces enjeux, c’est toute une vision qui se dessine. Celle d’une cybersécurité qui ne serait plus seulement défensive, mais structurante. Un levier de confiance, de compétitivité, et peut-être demain, un positionnement régional. À condition de relever un défi majeur : faire de la sécurité numérique une responsabilité collective, et non un privilège réservé aux plus grandes organisations.
Rida Ançari
