Félicitations pour ce prix que vous venez de recevoir. Pouvez-vous expliquer de quoi il s’agit ?
Le Cercle des Femmes de la Cybersécurité (CEFCYS) est une association française qui organise depuis plusieurs années un trophée mondial avec plusieurs catégories (entreprise, étudiant, défense…). J’ai été récompensée dans la catégorie « cyber chercheuse » que j’ai été récompensée. Ces derniers temps au laboratoire nous menons des recherches autour de problématiques bien réelles (healthcare, fintech, smart city…) et avec une approche précise : résoudre des problèmes. C’est probablement pour ça qu’il y a eu reconnaissance et récompense !
Pouvez-vous donner un exemple de problème que vous essayez de résoudre ?
On peut parler de la cybersécurité en lien avec la prévention du diabète. Avec la digitalisation et l’internet of things (internet des objets), de plus en plus de gadgets sont connectés. Une personne souffrant de diabète peut être équipée d’un système pour envoyer des alertes aux médecins ou aux patients par exemple. Mais cette transmission de data sensible – vers un téléphone, via le réseau, pour le stockage des données – il faut la protéger pour qu’elle ne soit pas accessible à n’importe qui ! Donc on touche à des problématiques humaines, et la cyber apporte sa contribution pour que les données ne soient pas captées par un pirate. Au labo on travaille sur différents sujets en parallèle, l’architecture de sécurité, le fog computing (technologie Cloud dans laquelle les données générées par les terminaux ne sont pas directement téléchargées)… et j’ai des projets en cours avec sept doctorants, sur la protection des enfants sur internet, la souveraineté, l’éthique et l’IA de confiance.
Trust and Security pour Mr Lemfadli, D&A Trust pour Mr Dubourg… on sent dans le choix des noms d’entreprises que les clients ont besoin d’être rassurés ! C’est quoi l’IA de confiance ?
C’est une IA qui ne va pas dévier. Si on automatise pour prendre des décisions, elle va suivre une certaine éthique. Dès que l’IA générative est devenue accessible au grand public, elle a été utilisée sans qu’on se soucie des nombreux problèmes de sécurité… que ce soit des données générées problématiques, une facilité offerte pour organiser des cyber-attaques, ou des GPT conçus pour créer des IA malveillantes. Or on sait que – normalement – un humain a une conscience, qu’elle soit basée sur les lois, les droits de l’homme ou la religion. Mais comment inculquer cette notion à l’IA ? Par glissement on en arrive à la question de la souveraineté. En tant que Marocains, comment garantir que nos données sont traitées sans déviations ou fausses informations ? Comment être sûr que quand on pose une question l’IA prend en compte les considérations propres au Maroc ? Idéalement il faudrait des algorithmes et un stockage souverains. Mais ça n’est pas pour demain. En attendant, c’est clair qu’on ne peut pas faire confiance à l’IA à 100%. Il ne faut pas lui divulguer tous nos secrets. On n’est pas devant un Large Language Model qu’on aurait développé, il n’est pas à nous et ce n’est pas un coffre-fort. Il faut vraiment élever le niveau de sensibilisation : ne pas faire confiance à l’IA. Comme pour quelqu’un qui utiliserait une voiture sans freins : ne roule pas trop vite !
Pour les voitures, il y a aussi le code de la route ! Quelles sont les règles concernant l’IA ?
Il y en a encore très peu. En attendant une IA de confiance, l’utilisation de l’IA générative devrait être plus encadrée. Ce n’est pas sûr de mettre des informations confidentielles comme un document d’appel d’offre sur ChatGPT. Ça devrait être interdit, on devrait avoir des normes pour cadrer ça, à l’image de l’AI Act en Europe ou des tentatives de régulation de pays, comme la Corée du Sud. On attend l’équivalent au Maroc, que ce soit des référentiels ou des règlements, pour aider les entreprises à y voir clair – notamment sur la différence entre les logiciels entraînant l’IA et l’IA générative. La semaine dernière [mars 2026] la CNDP a indiqué que la loi 09-08 concerne tous les logiciels. On attend maintenant la modification de cette loi pour intégrer l’utilisation de la data dans l’IA et ses outputs. On pourrait aussi imaginer que la DGSSI propose un code d’utilisation et de bon usage destiné au grand public.
Selon vous, quelle est la priorité d’ici 2030 ?
C’est d’investir dans plus de formation. Comme le Royaume prend le défi d’organiser des événements mondiaux (CAN 2025, Coupe du Monde 2030), et quand on sait que la prise de tickets est entièrement digitale, l’enjeu cyber est inévitable. Et le Maroc est sur la bonne voie. La DGSSI a une stratégie, on sent qu’il y a un plan qui s’applique. L’accélération est visible, que ce soit au niveau des entreprises comme du côté académique. C’est comme ça que le ministère de l’Enseignement a validé en accéléré la création d’une filière dédiée à la cybersécurité. Des licences et des masters ont vu le jour très rapidement, je crois qu’il n’y a pas vraiment d’équivalent ailleurs en Afrique.
Combien y a-t-il de Masters en cybersécurité au Maroc aujourd’hui ?
Je ne suis pas sûre, probablement moins d’une dizaine. Les universités commencent à produire des talents, le défi c’est d’arriver à montrer aux étudiants ce qui se passe dans l’industrie réelle. On peut organiser des cyberdrill (exercice au cours duquel une organisation simule des cyberattaques) mais il faut surtout arriver à passer d’une université fermée sur ellemême à une université ouverte, qui répond à des problématiques réelles. Ce pont est très important pour faire passer un étudiant d’un talent à un impact. Dans notre domaine, les choses changent en très peu de temps. Donc on supprime et on rajoute régulièrement des éléments au programme. Par exemple, on a étoffé la partie éthique et déontologie, et on a ajouté une petite partie sur la question du droit. Les collaborations avec les entreprises et les associations tech comme l’AUSIM sont aussi importantes, mais on n’a pas encore assez de gens qui enseignent des cas réels aux étudiants. Pour qu’ils comprennent vraiment le marché.
A quand un Centre de R&D marocain entièrement dédié à la cybersécurité ?
On n’y est pas encore. Même pour les labos, on n’en a pas qui soit purement dédié à la cyber, parce qu’on a pas assez de profils. Nous, à Aïn Chock, quand la formation de Master a été créée il fallait trouver douze professeurs en cyber : ils n’existaient pas. Donc sept des douze intervenants, ce sont des externes. Au niveau mondial, il n’y a pas assez de monde dans ce domaine. Alors où trouver toutes les compétences pour un centre R&D ? Et est-ce que les futurs diplômés marocains voudront faire de la recherche ? Sur trente étudiants en Master, il y en aura cinq maximums qui iront vers la R&D. Dans notre labo on pourrait avoir une cinquantaine d’étudiants, et on en a peut-être dix en cyber. Dans un avenir proche il y aura plus de labos, et ensuite, peut-être, un Centre de R&D 100 % cyber. Mais d’ici 2030 ce n’est pas réalisable… Sauf si on intègre plusieurs profils : des chercheurs, des gens de l’industrie, des gens des associations tech… ça c’est réalisable à court terme. Ce serait magnifique !
Le mot de la fin ?
La majorité des gens qui choisissent la cyber sont des garçons. Peut-être parce qu’on pense que c’est un métier vingt-quatre heures sur vingt-quatre… En tout cas, je milite avec des collègues pour qu’il y ait plus de femmes. On a besoin de cette mixité, les femmes ont beaucoup de compétences qui peuvent aider. Je milite pour qu’elles soient plus nombreuses !
Propos recueillis par David Le Doaré
