Quelle importance les entreprises donnent-elles à la cybersécurité ?
Au début des années 2000, quand on parlait d’assessment tout le monde disait « ça ne me concerne pas, je n’ai pas de données confidentielles ou critiques, mon activité est trop discrète ». La perception de notre métier c’était ça : quelque chose de très technique et une charge non prioritaire. Exception faite du secteur financier et de certaines administrations publiques en avance sur leur temps (les établissements de crédit, les assurances, les douanes ou encore le Ministère des Finances), il n’y avait quasiment aucune visibilité sur les impacts d’une attaque cyber. En 2017 l’attaque par rançongiciel Wannacry qui a touché des dizaines de milliers d’ordinateurs partout dans le monde a beaucoup fait évoluer les choses. Aujourd’hui, la nouvelle mentalité c’est que tout le monde est une cible potentielle. Il y a une forte demande en cybersécurité, le sujet est pris en charge par le top management en direct, des budgets conséquents sont alloués… Il n’y a plus de freins, c’est vu comme une nécessité. Après dans le détail il y a des entreprises qui veulent surtout traiter des sujets pointus, et d’autres qui demandent de partir de zéro pour être aussi protégé que possible. En tout cas, le niveau de maturité général a bien évolué.
Quel défi rencontrez-vous fréquemment dans les entreprises où vous intervenez ?
Lorsqu’on réalise un audit de sécurité, on trouve beaucoup de risques dont la source principale reste la défaillance de gouvernance. Bien souvent elle n’est pas assez solide ou mature, que ce soit sur le plan organisationnel ou technique. Il va y avoir des conflits d’intérêts, un cumul dans la répartition des tâches… Quand on parle de gouvernance, ça recouvre la conformité, les risques, le métier… c’est très transverse. Il faut que ce soit géré par des experts et non par des personnes qui n’ont rien à voir avec le sujet. Une fois que des experts se mettent autour de la table en compagnie du top management, les entreprises sont bien drivées.
Est-ce que les acteurs marocains de la cybersécurité sont au niveau des enjeux ?
Selon moi au Maroc il y a de la compétitivité et des ressources très compétentes, équivalentes à ce que proposent les plus grands cabinets internationaux. Pas mal de boîtes locales ont d’ailleurs ouvert leur bureau en France, elles ont bien évolué et elles sont impliquées sur des sujets très intéressants en Europe, au Moyen-Orient et même en Afrique. En fait, parfois le souci peut venir du côté des entreprises clientes. C’est du cas par cas, il y a des multinationales qui vont faire appel à des cabinets marocains – j’ai des amis qui sont intervenus dans de très grandes boîtes en Europe. Mais parfois elles te disent qu’elles ne peuvent pas prendre le risque de faire confiance à des acteurs marocains. Un exemple, que j’ai vécu au démarrage de ma structure : après avoir prospecté une grande boîte au Maroc et travaillé avec son responsable informatique, j’ai rencontré le PDG par hasard lors d’un événement. Je me présente en mentionnant la collaboration avec son responsable SI, et sa réponse a été « Désolé, nous on travaille avec les multinationales ». Ça s’est produit deux fois. Je ne sais pas s’il s’agit d’une question de confiance, ou peut-être que c’était pour avoir le logo d’un cabinet réputé… Mais ça reste du cas par cas, d’autres grands groupes m’ont accueilli à bras ouverts.
Est-ce que vous recrutez facilement ?
J’ai fait passer bon nombre d’entretiens d’embauche, il y a toujours un problème de compétences. Voire même d’état d’esprit. J’ai la sensation qu’on ne trouve plus cette posture de curiosité intellectuelle, ce goût de la recherche qui faisait faire des nuits blanches aux gens de ma génération, avant de finalement trouver la solution. Aujourd’hui il y a internet et ChatGPT, et on se retrouve avec des jeunes qui ont perdu l’habitude de prendre des initiatives. Mais attention, au-delà de la formation il faut aussi offrir aux jeunes les mêmes salaires et avantages auxquels ils peuvent prétendre à l’international. Ce n’est pas encore le cas partout… Un jeune diplômé à qui on propose 8 000 dhs au Maroc, même assorti d’une promesse d’évolution, dès qu’il va recevoir une offre de 20 000 dhs à l’étranger, il va y aller même si ce n’est pas tout à fait dans son domaine!
Quels sont les principaux freins à l’investissement dans la cybersécurité pour les TPME ?
Déjà, il y a le problème de ressources ou de budgets, c’est la grande problématique. Ce ne sont pas toutes les TPE qui ont un responsable de la sécurité informatique. Dans la majorité des cas, s’il y a une gestion de la sécurité, elle est assurée par les administrateurs réseaux et uniquement au niveau technique. Et pour faire intervenir des experts en cybersécurité, le taux journalier d’un consultant s’établit au minimum entre 4 000 et 6 000 dirhams et au moins à 10 000 ou 12 000 dirhams si la prestation est réalisée par un cabinet international. Estce qu’une TPE peut se permettre ça ? Ensuite, il y a le prix des outils et solutions de sécurité. Les solutions open source gratuites sont très efficaces, mais aussi très difficiles à maintenir. Il n’y a pas de contrat de maintenance, pas de mises à jour, des bugs à régler… les maintenir demande une grande expertise. Quant aux solutions de cybersécurité payantes (firewall, EDR, XDR, systèmes de consolidation), elles représentent un budget qui monte facilement jusqu’à un million de dirhams. Tout dépend de la dimension requise : le nombre de postes de travail, de serveurs, de solutions… Plus le système est grand, plus ça coûte cher. Même pour être protégé légalement en cas de compromission de données et pour la propriété intellectuelle du code source, Il faut payer. Toutes les TPME sont concernées, y compris les cabinets d’experts-comptables, d’avocats, les courtiers en assurance qui n’ont qu’une poignée de clients.
Ça coûte cher et il n’y a pas d’argent… c’est quoi la solution ?
Il va falloir commencer à proposer des services dimensionnés et sur mesure. Des solutions équivalentes à celles du secteur financier en termes de garanties de sécurité, à un prix abordable. Et là-dessus on a un problème au Maroc dans le domaine de la recherche au développement. Il n’y a pas de Centre de R&D sur les sujets de cybersécurité. Et où sont les investisseurs qui feraient confiance à des petites boîtes locales ? Je suis tout le temps sur LinkedIn : mis à part pour des services de test d’intrusion, jamais je n’ai entendu parler d’une initiative portée par des étudiants qui auraient créé quelque chose, jamais je n’ai vu une entreprise marocaine prête à financer une petite boîte de ce genre. Cet écosystème n’existe pas, ou s’il existe on ne communique pas dessus. Il faut changer de mindset : au lieu de payer le prix exorbitant – deux ou trois millions de dirhams – pour une solution internationale, il faut croire aux solutions marocaines. En France, lors d’événements dédiés à la cybersécurité, j’ai vu qu’au niveau des stands des régions il y avait comme des sous-stands regroupant à la fois des TPE et les investisseurs qui misent sur ces jeunes pour générer des solutions open source à bas prix. Des investisseurs qui les aident à commercialiser des solutions adaptées aux entreprises régionales… Ça m’a beaucoup marqué, on n’a besoin de ça au Maroc.
Selon vous quelles sont les priorités d’ici 2030 ?
À mes yeux le premier point c’est de faire de la sensibilisation à grande échelle. Aujourd’hui on sait qu’il faut se méfier des fake news, mais combien de personnes se font encore piéger par de faux SMS, de fausses identités… Parfois les hackers n’attaquent pas directement leurs cibles : ils passent par des réseaux zombies, sur lesquels ils installent leurs mouchards, et finalement ce sont ces intermédiaires qui mènent les attaques sans le savoir. Donc sensibiliser c’est le plus important. Ça me fait plaisir quand je regarde la télé et que je vois des pubs sur 2M pour sensibiliser à la protection des données. La Commission Nationale de Contrôle de Protection des Données à Caractère Personnel (CNDP) a vraiment fait de gros efforts, et il faut continuer dans cette direction en vulgarisant et en simplifiant le langage utilisé pour toucher tout le monde.
Propos recueillis par David Le Doaré
