Quelles sont vos impressions sur la gestion de la dernière Coupe d’Afrique des Nations du point de vue cyber ?
Il faut comprendre que le risque zéro n’existe pas. Les pirates informatiques sont ingénieux, et ils trouvent toujours des failles. Déjà à l’époque du Covid, c’était des rançongiciels – pour récupérer de l’argent en bitcoin, mais depuis il y a eu énormément de travail conduit par la maCert (Moroccan Computer Emergency Response Team) au sein de la DGSSI, notamment pour faire de la veille en vulnérabilité. Pour cette dernière CAN par exemple, sur les réseaux sociaux il y a eu beaucoup de mesures de surveillance et d’alertes, accompagnées d’actions sur le darkweb pour voir s’il y avait des leaks [fuites] ou des infos de compromission. C’était plutôt encourageant, sur cette CAN franchement les réactions ont été rapides, avec la mise en place de take down [extinction] de site de billetterie. Dans ces cas-là c’est une course contre la montre, et je n’étais pas dans le cœur du réacteur mais de l’extérieur on a le sentiment que c’était bien géré.
Etes-vous surpris que le Maroc soit dans le top 3 des pays les plus touchés par les cyber attaques en Afrique ?
Oui et non. Le Maroc fait de plus en plus parler de lui… et il y a une grosse transformation digitale à l’œuvre ici. Pour moi qui ai bossé dans beaucoup d’autres pays africains, je le vois, le Maroc est dans le peloton de tête sur la digitalisation. Il y a une volonté d’aller de l’avant, mais plus les entreprises se digitalisent, plus le risque explose. Avec tous les nouveaux services de BtoB et BtoC, plus les services de l’administration dédiés aux citoyens, c’est autant de nouveaux facteurs de risques. Et ce risque est favorisé par le contexte de tension avec certains pays voisins comme le montre l’attaque subie par la CNSS, ou d’autres attaques de déni de services. Ceci dit, attention à l’interprétation de ce classement dans le top 3 : on est très touché parce qu’on sait qu’on l’est. D’autres pays le sont peut-être tout autant, sans être en capacité de s’en rendre compte.
Pour certains analystes, le Cloud serait le principal problème de cybersécurité au Maroc : la loi 05- 20 demande à ce que les données sensibles soient hébergées sur le territoire national or en l’état le Cloud marocain n’est pas prêt. Donc beaucoup d’entreprises ou d’administrations n’adopteraient aucun Cloud et peineraient même à définir une trajectoire digitale. Qu’en pensez-vous ?
Je partage ce constat, mais il faut être précis : la loi 05-20 concerne les infrastructures vitales, les opérateurs télécom et les prestataires de services qui interviennent sur ces infrastructures… donc tout l’écosystème qui va avec. Cette même loi dit qu’il faut avant tout classifier les données pour déterminer si elles sont critiques ou non. Les systèmes d’information sensibles sont classifiés via un guide (rédigé par de la DGSSI), ensuite on déclare les SIS (système d’information sensible), et ensuite on a le droit d’aller dans le Cloud. Donc ce n’est pas tout ou rien. Il y a des données vitales et d’autres qui ne le sont pas. Parfois, par méconnaissance, des structures vont opter pour le « zéro Cloud » alors qu’elles pourraient y aller pour la majorité de leurs données non sensibles.
À quand un cloud souverain d’après vous ?
Il y a beaucoup d’effets d’annonces mais a priori pas vraiment de Cloud souverain dans un avenir proche. C’est vrai que beaucoup d’opérateurs d’importance vitale construisent des infrastructures locales, mais de là à remplacer Microsoft sur l’ensemble de la chaîne de valeur, ou d’être en capacité de proposer au Maroc tous les services de Google, Amazon, etc… ce n’est pas pour demain. Et y a-t-il seulement un marché et une taille économique suffisante pour les attirer ici ? Il faut calculer l’équation entre ce que pèse le Maroc dans ce domaine d’une part, versus l’investissement des GAFA pour permettre cette souveraineté dans le Royaume d’autre part. En 2025 le marché pèse environ 145 millions de dollars, c’est encore trop peu. Peut-être qu’il faudrait plutôt réfléchir à une zone de confiance inter-pays, pour arriver à une taille de marché suffisante qui encouragerait les GAFA à réaliser des investissements dans des infrastructures lourdes ? Quand on parle de souveraineté, le mot est souvent galvaudé. Qui peut vraiment prétendre être souverain à part les Chinois ? Eux ont la production des composants, la production des systèmes d’exploitation, la taille du marché nécessaire. En dehors de ce cas précis, peut-être que pour les autres pays plutôt que de souveraineté on devrait parler de confiance.
En 2025 l’attaque de la CNSS a fait beaucoup de bruit. Par la suite y a-t-il eu d’autres cyberattaques déclenchées en lien avec les informations qui avaient été révélées ?
Oui, il y a eu des campagnes de phishing [hameçonnage] massives ou ciblées. Donc depuis quelque temps les grosses entreprises anticipent et font beaucoup de campagnes de phishing pour rendre leurs salariés plus vigilants. Quand les hackers savent qui travaille où, c’est beaucoup plus simple pour eux. Si je compromets une personne qui a beaucoup d’accès, je peux aller chercher de l’argent ou des informations. Autrement depuis début 2026 on voit pas mal d’attaques d’ingénierie sociale type arnaque au président, avec l’objectif d’engendrer une fraude derrière. Si les hackers savent qui est le président d’un grand groupe, et qui au sein de ce même groupe peut activer un paiement ou un RIB, alors ils contactent cette seconde personne en se faisant passer pour le président. Avec un discours d’urgence : « c’est important, faites ce virement rapidement ! ». La personne sollicitée peut réagir sous stress, ou peut-être aussi se sentir importante, et donc il y a des chances que la fraude marche.
Est-ce qu’on a une idée des pertes liées à l’attaque sur la CNSS ?
On sait qu’il y a eu une hausse réelle des attaques mais on n’a pas de chiffres sur les conséquences. Pareil pour les arnaques au président, on n’a pas de chiffres exacts là-dessus. Malheureusement la DGSSI ne les partage pas au public, ni même aux grosses boîtes d’ailleurs, mais seulement à celles qui sont d’importance vitale (liées à la santé, la sûreté et l’impact économique). En France l’ANSSI communique davantage, ils ont fait un panorama sur les attaques recensées et je trouve que c’est utile. La nature de la menace est variable selon les secteurs, donc quand on demande aux entreprises de faire une cartographie des risques, ça les aide à connaître la principale menace qui les concerne. En ayant cette vision – ce panorama de la menace – avec parfois des visions sectorielles, on apprend par exemple que dans la finance les attaques de type fraude sont très exploitées, que dans l’industrie c’est le sabotage et le rançonnage, et que pour les institutions c’est plutôt l’exfiltration d’informations, pour déstabiliser ou espionner. Cette gradualité des chiffres manque un peu ici. Après, objectivement, en France ou ailleurs, les entreprises elles-mêmes ne communiquent pas toujours sur les attaques qui les touchent. Il y a un côté “honte”, comme si c’était une maladie contagieuse, faut pas en parler ! Enfin, ça peut être très difficile d’évaluer des pertes financières réelles. Si c’est un arrêt d’activité, ou si c’est une fraude, on peut l’estimer, mais quid de la reconstitution du système d’exploitation ou de l’appareil industriel ? Quid de l’impact d’image ?
Comment se porte D&A Trust ? Quelles sont les principales demandes faites par vos clients ?
Le marché de la cybersécurité se porte bien au Maroc, avec un taux de croissance de près de 9 %. L’actualité fait qu’on a pas mal de travail. On fait beaucoup appel à nous sur de l’audit de conformité, et sur de la stratégie cyber ; on est capable de rentrer dans le détail pour bien expliquer les choses aux COMEX. On fait beaucoup de sensibilisation, car bien souvent le maillon faible c’est l’humain ? Beaucoup de clients nous demandent de sensibiliser aussi bien le COMEX que leurs collaborateurs. On fait aussi des tests d’intrusion, et des exercices de crise cyber pour préparer les boîtes à faire face à un choc, tester la cellule décisionnelle et opérationnelle. Enfin on fait de l’intégration de solutions : ce dont on parle en conseil, on peut l’intégrer directement. Les choix technologiques qu’on a faits sont basés sur la continuité entre conseil et opérationnel.
Est-ce que c’est facile pour vous de recruter ?
C’est vrai aussi qu’on a un niveau d’exigence très élevé, puisqu’on n’a pas le droit à l’erreur sur le recrutement. Mais les profils très seniors sont compliqués à trouver. Il y a beaucoup d’experts expérimentés, mais qui n’ont pas toujours les soft skills qui vont avec. Or c’est un monde très technique qui devient de plus en plus un sujet de COMEX. Il faut savoir être pédagogue. Autre phénomène : celui des indépendants. Beaucoup de profils qui ont 7 ou 10 ans d’expérience se mettent à leur compte et ça restreint la disponibilité des profils seniors. Côté profils juniors, on recrute beaucoup de jeunes, avec des partenariats avec l’EMI à Mohammadia, l’INPT et l’ENSIAS. Chez les juniors, on regarde aussi les soft skills, mais surtout le mind set et le côté passion. Parce que dans notre domaine il faut continuer d’apprendre !
Vous n’aimeriez pas rencontrer des hackers de temps en temps ?
C’est très compliqué de retrouver les bonnes attributions des attaques. Souvent elles se font en plusieurs temps. Une fois j’étais intervenu sur une attaque ransomware dans une usine pétrolière, et on s’est rendu compte que l’accès avait déjà été utilisé par d’autres personnes, puis revendu sur le darkweb. Donc pour arriver à attribuer une attaque à un ou deux hackers, c’est pas évident. Mais pour les interpellations, il y a Interpol !
Propos recueillis par David Le Doaré
