Cybersécurité au Maroc : entre réalisations et défis

Bien que le Maroc ait fait des progrès significatifs en matière de cybersécurité, il continue de faire face à des défis permanents dans la lutte contre les cybermenaces. La nature évolutive des cyberattaques nécessite une adaptation constante, une conformité au contexte international et des investissements dans les solutions technologiques, les ressources humaines, la coopération nationale et internationale pour assurer une posture de cybersécurité robuste.

Introduction
La cybersécurité[1] fait référence à la pratique consistant à protéger les systèmes informatiques, les réseaux et les informations numériques contre les accès non autorisés, les violations de données, les cyberattaques et autres menaces. Il s’agit de mettre en œuvre des mesures visant principalement à assurer la confidentialité, l’intégrité et la disponibilité des actifs numériques. Il s’agit d’un domaine complexe et en constante évolution en raison de l’évolution constante du paysage des menaces, qui nécessite une approche à plusieurs niveaux, impliquant des solutions techniques, des politiques, des processus et la sensibilisation des utilisateurs, afin d’atténuer les risques et de protéger efficacement les actifs numériques.

De nos jours, la cybersécurité est apparue comme une préoccupation cruciale dans diverses couches de la société, en particulier avec le début de la pandémie de Covid-19. La croissance exponentielle[2] des appareils interconnectés générant constamment de vastes volumes de données, associée aux progrès remarquables des technologies de connectivité, ainsi que la prévalence du travail à distance et l’adoption du BYOD[3] (Bring Your Own Device), ont collectivement contribué à une augmentation substantielle des cybermenaces. Pour faire face à ce problème mondial, le Maroc a reconnu depuis 2007 la nécessité et la nécessité d’une coopération entre les services de l’État, le secteur public et le secteur privé dans la lutte contre la cybercriminalité et (la protection des données personnelles et des intérêts juridiques dans l’utilisation et le développement des technologies de l’information) la sauvegarde des intérêts légitimes dans l’utilisation et le développement des technologies de l’information.

En effet, des efforts importants ont été consentis par les différentes parties prenantes marocaines (gouvernement, forces de l’ordre, organismes de régulation comme l’ANRT, organismes de cybersécurité, secteur privé, institutions universitaires et de recherche, partenaires internationaux et société civile) pour réaliser des progrès notables en matière de cybersécurité, à commencer par la formulation de la première « Stratégie nationale pour la sécurité de l’information et la confiance numérique » en 2007 ; la mise en place du Plan « Maroc Numeric 2013 » et la promulgation de la loi 09-08 relative à la protection des données à caractère personnel en 2009 ; la création de la « Direction Générale de la Sécurité des Systèmes d’Information » (DGSSI) en 2011 a marqué une étape importante, et son maCERT (Moroccan Computer Emergency Response Team) est devenu l’une des initiatives pionnières en Afrique à cette époque. -; le lancement en 2013 de la nouvelle stratégie nationale de cybersécurité et la publication de la Directive Nationale sur la Sécurité des Systèmes d’Information des Infrastructures d’Importance Vitale (IIV) ; et récemment (à partir de 2020), la promulgation de certaines lois en réponse aux conséquences de la pandémie, notamment la loi « 05-20 » pour la cybersécurité et la loi « 43-20 » pour la signature électronique et les transactions.

Le marché marocain de la cybersécurité a fait preuve d’une certaine maturité ces dernières années. Les entreprises marocaines reconnaissent désormais que la cybersécurité est cruciale pour protéger leurs données, leurs systèmes et leur réputation. Ils comprennent également les risques auxquels ils sont confrontés, tels que le vol de données, les attaques par rançongiciel, la fraude en ligne, etc. Cependant, malgré cette prise de conscience, il est vrai que les moyens dédiés à la cybersécurité au Maroc sont souvent insuffisants. Les budgets[4] alloués à la cybersécurité ne correspondent pas toujours aux menaces actuelles et aux besoins réels de protection. Plusieurs facteurs contribuent à cette situation, comme le manque de compréhension des coûts réels des incidents de cybersécurité, les priorités accordées à d’autres domaines d’investissement ou encore le manque de ressources spécialisées en cybersécurité. Néanmoins, il convient de noter que le gouvernement marocain et les organismes de réglementation ont pris des mesures pour promouvoir la cybersécurité dans le pays[5]. Nous en parlerons dans les sections suivantes.



Le Maroc, terre fertile pour les cyberattaques
À l’instar de nombreux autres pays, le Maroc a toujours été la cible de graves cyberattaques. Avec une présence numérique croissante et croissante et une dépendance croissante aux technologies de l’information, le pays est exposé à diverses cybermenaces. Les raisons pour lesquelles le Maroc est un terrain fertile et fertile (destination attrayante) pour les cybercriminels sont multiples. Des facteurs géopolitiques, motivés par des motivations politiques ou idéologiques, peuvent amener les acteurs de la menace à poursuivre leurs programmes ou à exprimer leur désaccord contre le gouvernement marocain. De plus, la croissance de l’économie marocaine et de l’infrastructure numérique peut séduire les cybercriminels qui cherchent à voler des actifs financiers ou intellectuels de valeur. Les dynamiques géopolitiques et les conflits régionaux y contribuent également, car les cyberattaquants exploitent les vulnérabilités à des fins stratégiques. En outre, des groupes d’hacktivistes comme « Anonymous » peuvent cibler spécifiquement le Maroc pour attirer l’attention et sensibiliser sur des questions spécifiques ou soutenir les mouvements sociaux locaux. De plus, le cyberespionnage parrainé par l’État pourrait cibler des entités gouvernementales, des entreprises ou des institutions marocaines pour recueillir des renseignements. Enfin, comme toute nation interconnectée, le Maroc reste vulnérable aux attaques opportunistes, où les cybercriminels exploitent les faiblesses des systèmes d’information et des réseaux à des fins financières.

Les cyberincidents peuvent varier en nature et en impact, allant des violations de données à grande échelle et des attaques par rançongiciel au cyberespionnage ciblé et au piratage parrainé par un État. Au cours de la dernière décennie, il y a eu des cyberincidents notables qui ont eu un impact substantiel sur le pays. Dans ce qui suit, nous mettrons en évidence certains des plus notables de ces cyberincidents. En2012, le site de la Banque centrale du Maroc (Bank Al-Maghrib) a été la cible d’un groupe de pirates informatiques connu sous le nom de « Tunisie anonyme ». L’attaque s’inscrivait dans le cadre d’une série de cyberopérations menées par « Anonymous » en réponse à des événements politiques régionaux. En2014, des sites web marocains, dont ceux du ministère des Affaires étrangères et d’autres sites gouvernementaux, ont été piratés par un groupe de pirates informatiques algériens. Cette attaque s’inscrit dans le cadre des tensions persistantes entre le Maroc et l’Algérie. En2018, la chaîne de télévision publique marocaine, 2M, a subi une cyberattaque qui a perturbé sa diffusion. Les pirates ont remplacé le contenu de la chaîne par des messages politiques. L’incident a attiré l’attention en raison de la nature sensible du ciblage d’un média appartenant à l’État. En2019, le site de la Bourse de Casablanca, l’une des institutions financières critiques du Maroc, a été défiguré par des pirates informatiques. Les attaquants ont remplacé le contenu du site Web par des messages politiques, soulevant des inquiétudes quant à la sécurité des infrastructures financières vitales.

Lorsque la pandémie de COVID-19 a frappé au début de l’année 2020, de nombreux pays, dont le Maroc, ont dû s’adapter rapidement au travail à distance et aux solutions numériques pour assurer la continuité des activités économiques tout en mettant en œuvre des mesures de confinement et de distanciation sociale. Ce passage soudain au télétravail et cette dépendance accrue aux technologies numériques ont présenté des opportunités, mais aussi des défis. Lorsque les gens ont commencé à travailler à domicile et à s’appuyer sur des outils de communication numériques, les cybercriminels ont vu une opportunité d’exploiter les faiblesses des mesures de sécurité et de mener des cyberattaques. Les tentatives d’hameçonnage, les attaques par rançongiciel et d’autres types de cybercrimes ont augmenté au cours de cette période. Le bulletin de sécurité de Kaspersky[6] pour 2020 a fait état de plus de 13,4 millions d’attaques détectées au Maroc entre avril et juin 2020. Cette année-là, une société de recherche en cybersécurité a également fait état d’une campagne de piratage ciblant les secteurs académique et médiatique marocains. Les attaquants ont utilisé des e-mails d’hameçonnage et d’autres tactiques pour compromettre leurs cibles. L’opération a été attribuée à un groupe soupçonné d’avoir des liens avec le gouvernement marocain.

Le rapport d’évaluation des cybermenaces en Afrique[7] de 2022 publié par Interpol a classé le Maroc comme le pays africain le plus touché par les chevaux de Troie bancaires[8] et les logiciels malveillants voleurs avec un nombre stupéfiant de 18 827 attaques détectées en 2022, suivi de l’Afrique du Sud et du Nigeria.Par exemple, la Banque Centrale Populaire (BCP) a été victime d’une attaque de phishing[9] en octobre 2021.CIH Bank avait également été victime de cyberattaques à plusieurs reprises, la dernière en 2023[10] où 105 clients ont été trompés, et 3 millions de dirhams marocains ont été volés. Dans une situation similaire, en 2017, de nombreux clients de Société Générale Maroc ont vu des fonds débités de leurs comptes bancaires, alors qu’ils n’avaient initié aucune transaction de ce type[11].

En 2023, les différents sites internet de l’Agence marocaine de presse (Maghreb Arab Press – MAP) ont été la cible d’une attaque par déni de service distribué (DDoS)[12]. Ce dernier cherche à rendre les machines ou les réseaux ciblés inaccessibles aux utilisateurs légitimes en inondant la cible de demandes d’accès pour submerger le système et perturber ses services. L’attaque a fait référence à des tensions géopolitiques régionales.



Le début d’une ère révolutionnaire de la cybersécurité
Avant l’accent mis sur la cybersécurité dans la société marocaine, il y a eu des efforts pour réglementer les systèmes d’information et le traitement automatisé des données. La loi 07-03[13], promulguée en 2003, a constitué une étape importante dans la complémentarité du code pénal en matière d’infractions et d’intrusions liées aux systèmes automatisés de traitement de données.

La loi 07-03, également dite « Loi marocaine sur la cybercriminalité », visait à traiter différents aspects de la cybercriminalité et à établir des cadres juridiques pour traiter les infractions liées aux systèmes d’information et aux traitements automatisés de données. La loi a introduit des dispositions qui ciblaient spécifiquement l’accès non autorisé, l’interférence de données, le sabotage du système et d’autres activités liées à la cybersécurité. Il a fourni une base juridique pour poursuivre les personnes impliquées dans des cyberintrusions, le piratage, le vol d’identité et d’autres infractions liées à la cybersécurité, et a défini des peines et des sanctions pour les personnes reconnues coupables de cybercrimes, ce qui a contribué à établir un effet dissuasif. Il a ouvert la voie à une application plus stricte de la loi et a fourni un cadre juridique pour soutenir les enquêtes et les poursuites liées aux cyberincidents.

En 2007, une initiative appelée « Global Cybersecurity Agenda » (GCA)[14] a été lancée par l’Union internationale des télécommunications (UIT), une institution spécialisée des Nations Unies, pour promouvoir la coopération internationale en matière de cybersécurité. Le GCA vise à renforcer les capacités en matière de cybersécurité, à sensibiliser et à faciliter l’échange d’informations et de bonnes pratiques entre les pays membres. Le Maroc était représenté au sein d’un Groupe d’experts de haut niveau (HLEG) par Dr. TaiebDebbagh, en sa qualité de Secrétaire Général du Département Ministériel en charge des Technologies de l’Information. Lors de la réunion inaugurale, il a été nommé président de la Commission 3, qui s’est concentrée sur les « Structures organisationnelles ». Juste pour vous donner un peu de contexte, il y avait 5 commissions. Le premier s’est concentré sur les mesures juridiques, le deuxième sur les mesures techniques et procédurales, le quatrième était en charge de tous les aspects liés au renforcement des capacités et le cinquième sur les questions relatives à la coopération internationale.

Cette année a également été marquée par la promulgation de la loi 53-05[15], dite « Loi sur les transactions électroniques », qui fixe le cadre juridique et la réglementation applicables aux opérations réalisées par les prestataires de services de certification électronique, notamment l’échange électronique de données, la cryptographie et la signature électronique au Maroc. Cette loi vise à faciliter la sécurité et la fiabilité des transactions électroniques, à promouvoir l’utilisation de la signature électronique et à établir des lignes directrices pour la protection et l’authenticité des documents électroniques. Elle reconnaît la validité juridique et l’applicabilité des enregistrements et des signatures électroniques, à condition qu’ils répondent à certaines exigences énoncées dans la loi.

En juillet 2008, la Direction des Postes, des Télécommunications et des Technologies de l’Information (DEPTTI) a pris l’initiative de réaliser une étude en collaboration avec le cabinet Deloitte-France, qui a abouti à l’élaboration de la première « Stratégie nationale pour la sécurité de l’information et la confiance numérique ». Le DEPTTI était un département gouvernemental marocain chargé d’élaborer et de mettre en œuvre des politiques visant à superviser et à réglementer les secteurs des postes, des télécommunications et des technologies de l’information dans le pays. De plus, il avait des responsabilités liées à la cybersécurité nationale, à l’économie numérique et à d’autres initiatives liées à la technologie. Il est à noter que la mise en œuvre de cette étude a été retardée afin de l’intégrer dans un programme de la Stratégie Nationale ‘Maroc Numérique 2013’.

En effet, en 2009, le Maroc a lancé la stratégie nationale « Maroc Numérique 2013 ». [16] Cette initiative a été annoncée par Sa Majesté le Roi Mohammed VI le 9 octobre 2009 à Rabat. Ce plan était un programme ambitieux visant à positionner le Maroc comme un hub numérique régional à travers l’accélération de la transformation numérique du pays et la promotion du développement de l’industrie des technologies de l’information et de la communication (TIC). Dans le cadre de la stratégie « Maroc Numeric 2013 », une attention particulière a été portée à la confiance numérique. Un programme spécifique a été mis en place pour promouvoir la confiance et la sécurité dans le domaine numérique. Ce programme visait à renforcer la sécurité des systèmes d’information, à protéger les données personnelles et à renforcer la confiance des utilisateurs dans les services en ligne.

Par ailleurs, il convient de mentionner la promulgation de la loi 09-08[17] la même année. Également connue sous le nom de « Loi sur la protection des données personnelles », cette législation visait à encadrer la collecte, le traitement, le stockage et l’utilisation des données personnelles au Maroc. Elle visait à assurer la protection du droit à la vie privée des personnes et à établir des lignes directrices à l’intention des entreprises et des organisations qui traitent des renseignements personnels. La loi a introduit des principes et des obligations pour les responsables du traitement et les sous-traitants, notamment l’obtention du consentement, la mise en œuvre de mesures de sécurité et l’octroi aux individus de droits d’accès, de rectification et de suppression de leurs données personnelles. En plus d’assurer une protection effective des personnes physiques contre l’utilisation abusive des données, la loi visait à harmoniser le système marocain de protection des données personnelles avec ceux de ses partenaires, notamment européens. En outre, la loi établit une Commission nationale pour la protection des données personnelles (CNDP)[18] dont le rôle se concentre sur la réglementation et le respect des lois internationales, l’autorisation et la supervision du traitement des données personnelles, la sensibilisation et l’éducation, le traitement des plaintes et les enquêtes, ainsi que la coopération internationale.

En 2010, l’équipe marocaine d’intervention en cas d’urgence informatique (maCERT)[19] a été créée pour traiter et répondre aux incidents de cybersécurité dans le pays. Un CERT est une équipe internationale spécialisée qui se concentre sur les incidents de sécurité informatique et fournit des services de réponse aux incidents pour prévenir, détecter et répondre aux cybermenaces. Le maCERT fonctionne sous l’égide de l’Agence nationale de régulation des télécommunications (ANRT) et collabore avec différentes parties prenantes pour renforcer la cybersécurité au Maroc. Son rôle principal est de coordonner les efforts de réponse aux incidents, de fournir des conseils et une assistance aux entités concernées, et de promouvoir la sensibilisation et l’éducation en matière de cybersécurité. Depuis sa création, maCERT participe activement à la sauvegarde de l’infrastructure numérique du Maroc et à la protection des individus, des organisations et des systèmes d’information critiques contre les cybermenaces.

L’année 2011 a été un tournant majeur dans le développement de la cybersécurité au Maroc. Tout d’abord, la création de la DGSSI (Direction Générale de la Sécurité des Systèmes d’Information) par le décret n° 2-11-509[20] du 21 septembre 2011.Cet organisme rattaché à l’Administration de la Défense Nationale joue un rôle essentiel dans l’élaboration des politiques, stratégies et normes nationales relatives à la sécurité des systèmes d’information. Il collabore avec diverses parties prenantes, y compris des organismes gouvernementaux, des organisations du secteur privé et des partenaires internationaux, afin de renforcer les capacités de cybersécurité et d’atténuer les cybermenaces. Il travaille à l’établissement de cadres juridiques pour la cybersécurité (y compris les autorisations, les déclarations, les certifications et les approches de vérification), à la surveillance et à l’audit technologiques, à l’élaboration de plans d’intervention en cas d’incident, à la promotion des meilleures pratiques en matière de sécurité de l’information et à la conduite de campagnes de sensibilisation pour éduquer les individus et les organisations sur les risques de cybersécurité. Le maCERT a été rattaché à la DGSSI après sa création.

Un autre événement important marquant l’année 2011 a été la promulgation de la loi 31-08[21] sur la protection du consommateur. Cette loi vient renforcer les droits des consommateurs et fournir des garanties juridiques dans diverses transactions commerciales, y compris le commerce en ligne. La loi vise à protéger les consommateurs contre les pratiques déloyales, à garantir la qualité et la sécurité des produits et des services et à promouvoir une concurrence loyale. En ce qui concerne le commerce en ligne, la loi établit des règles et des obligations pour les vendeurs en ligne, telles que la fourniture de descriptions de produits claires et précises, la transparence des prix et la sécurisation des méthodes de paiement. La loi aborde également des questions telles que l’information des consommateurs, les politiques de livraison et de retour et les mécanismes de règlement des litiges. Elle habilite les associations de protection des consommateurs et les organismes gouvernementaux à surveiller et à faire respecter la loi.

La Stratégie Nationale de Cybersécurité (SNC)[22], également appelée Stratégie Nationale de Sécurité des Systèmes d’Information (SNSSI), adoptée en 2012 a en effet été une étape essentielle franchie par le pays pour renforcer sa cybersécurité et sauvegarder les infrastructures d’information critiques. La stratégie a été élaborée pour faire face aux risques et aux défis croissants présentés par les cybermenaces et les attaques à l’ère numérique. En mettant en œuvre cette stratégie, le Maroc visait à atteindre plusieurs objectifs clés, notamment 1) la protection des infrastructures critiques (énergie, finance, transport, etc.) contre d’éventuelles cyberattaques qui pourraient avoir de graves conséquences sur la stabilité et l’économie du pays ; 2) Améliorer la réponse aux incidents cybernétiques grâce à des actions efficaces et coordonnées visant à atténuer l’impact des attaques et à se rétablir rapidement ; 3) Renforcer le cadre juridique et réglementaire pour lutter efficacement contre la cybercriminalité ; 4) Promouvoir la sensibilisation et l’éducation à la cybersécurité sur les risques associés au cyberespace et sur la façon de rester en sécurité en ligne ; 5) Encourager la collaboration entre le gouvernement et le secteur privé, les partenariats avec les intervenants de l’industrie et la coopération internationale.

En août 2014, le Maroc a promulgué la loi n° 46-13 portant approbation de la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, communément appelée « Convention 108 ». [23] Cette Convention a été ouverte à la signature le 28 janvier 1981 et constitue en effet le premier instrument international juridiquement contraignant dans le domaine de la protection des données. L’objectif principal de la Convention 108 est de veiller à ce que chaque individu, indépendamment de sa nationalité ou de son lieu de résidence, jouisse du respect de son droit à la vie privée. Il reconnaît l’importance de la protection de la vie privée dans le paysage technologique en évolution rapide, où les données personnelles peuvent être facilement recueillies, stockées et partagées par divers moyens automatisés, principalement par Internet. Autre initiative marquante de cette année, le lancement d’une vaste campagne de sensibilisation de quatre ans « la Campagne nationale marocaine de lutte contre la cybercriminalité (CNLCC 2014-2017) » par le Centre marocain de recherche et d’innovation polytechnique (CMRPI)[24], sous l’égide du ministère marocain de l’Industrie, du Commerce, de l’Investissement et de l’Economie numérique. Cette campagne est la première expérience de ce type à cette échelle en Afrique. Son objectif principal était de promouvoir de bonnes pratiques de cybersécurité responsables au s ein de la société marocaine, et ciblait les secteurs public et privé ainsi que les citoyens de différents groupes d’âge.

L’événement majeur de l’année 2015 a été la publication de la première version de l’indice mondial de cybersécurité (GCI)[25] par l’Union internationale des télécommunications (UIT). Le GCI est une enquête qui mesure l’engagement des États membres de l’UIT en faveur de la cybersécurité afin de sensibiliser le public. Il évalue les réalisations de chaque pays en termes de cadre juridique, de mesures techniques, de structures organisationnelles, de développement des compétences et de coopération en matière de cybersécurité. Cet indice a classé le Maroc à la 24e place mondiale, au 3e rang en Afrique et au 4e rang des pays arabes. Parallèlement à la publication de l’édition initiale du GCI, l’UIT a créé un « profil de cyberbien-être » pour chaque pays[26], englobant toutes les réalisations de ce pays en matière de cybersécurité et de protection des données personnelles. Le profil du Maroc a mis en évidence des aspects juridiques et réglementaires spécifiques liés à la cybersécurité et à la cybercriminalité, ainsi que des mesures techniques importantes telles que les normes, la certification et les entités spécialisées. Le profil a également donné un aperçu des stratégies nationales officiellement approuvées et de la feuille de route pour la gouvernance de la cybersécurité au Maroc, ainsi que de l’agence responsable de leur mise en œuvre. Il comprenait une section sur le renforcement des capacités, mettant en évidence les éléments clés liés au développement de la main-d’œuvre, à la certification professionnelle et à l’accréditation des organismes. Notamment, à cette époque, le Maroc ne disposait pas d’initiatives de recherche et développement (R&D) nationales ou sectorielles officiellement reconnues visant les normes, les meilleures pratiques et les lignes directrices en matière de cybersécurité applicables dans les secteurs privé et public.

The profile acknowledged Morocco’s efforts to establish international cooperation and partnerships, although the country had not yet instituted officially recognized national or sector-specific programs for sharing cybersecurity resources between the public and private sectors. Furthermore, it emphasized progress in child online protection through national legislation and participation in international conventions and protocols. However, as of that time, Morocco had not established an officially recognized agency or reporting mechanisms to provide institutional support for child online protection.

In March 2016 was the publication of the decree No. 2-15-712[27] establishing the framework for the protection of sensitive information systems of vital infrastructures. This decree, approved by the government convened under the presidency of His Majesty King Mohammed VI, materialized the national directive for the security of information systems developed by the DGSSI, which applies to all information systems of administrations, public bodies, and critical structures. In June of the same year, Bank Al-Maghrib has released Directive No. 3/W/16[28], outlining the essential regulations that credit institutions must adhere to when performing penetration tests on their information systems.

The year 2017 was marked by the publication of the second edition of the “Global Cybersecurity Index” (GCI)[29], placing Morocco at the 49th position globally, 4th in Africa, and 7th among Arab nations. The second significant event in this year concerns the development of a new directive by the DGSSI. This directive outlinedsecurity protocols and reporting procedures for sensitive information systems and security incidents within critical infrastructure. It complements the rules contained in the National Information Systems Security Directive (DNSSI)[30]and the Decree on Vital Infrastructure developed in 2013.

En 2018, la troisième édition du GCI[31] a classé le Maroc au 93e rang mondial, au 16e rang en Afrique et au 10e rang des pays arabes. Cette baisse du classement pourrait s’expliquer par le fait que l’UIT a complètement changé ses méthodes de collecte et d’évaluation des données (par exemple, le nombre de questions a été réduit de 153 à 50, les valeurs de pondération ont été réévaluées et modifiées, etc.). En outre, des éléments liés à la protection de l’enfance en ligne ont été inclus dans les questions et la notation, et pour lesquels l’UIT n’a pas pu accéder à toutes les informations pertinentes. Il est à noter que, selon l’UIT, le score du Maroc a été impacté par des faiblesses dans les domaines du « Cadre juridique » et du « Renforcement des capacités ». La même année, PwC-Maroc a publié la première « Global State of Information Security® Survey – Focus Morocco »[32], précisant que la majorité des entreprises marocaines sont conscientes des enjeux de cybersécurité et mettent en œuvre des plans d’investissement pour des solutions de cybersécurité robustes. Cependant, la conformité reste un obstacle majeur.

En 2019, la DGSSI a mis en place un référentiel[33] qui consolide les exigences auxquelles doivent répondre les prestataires de services d’audit pour leur accréditation. Ce système sert d’indicateur de confiance lorsqu’il s’agit de confier des missions d’audit à des prestataires accrédités.

L’année 2020 a été marquée par d’importantes perturbations pour les organisations à l’échelle mondiale. La pandémie mondiale sans précédent et l’accélération de la transformation numérique ont ouvert la voie à un passage au travail à distance, augmentant ainsi considérablement le niveau de risque en matière de sécurité de l’information. Cette année a vu la promulgation de deux lois importantes : la loi 05-20[34] visant à établir un cadre juridique recommandant aux entités d’adhérer à des règles minimales et des mesures de sécurité pour assurer la fiabilité et la résilience de leurs systèmes d’information, et la loi 42-20[35] relative aux services de confiance pour les transactions électroniques dans le but de mettre en œuvre un nouveau cadre juridique répondant aux besoins des services économiques, acteurs publics, privés, gouvernementaux et citoyens, à travers l’organisation de signatures électroniques, de cachets électroniques, d’horodatage électronique, de services de transmission électronique sécurisée et de vérification de sites web.

In June 2021, the DGSSI (General Directorate for Information Systems Security) and the ‘Global Cyber Security Capacity Centre’ at the University of Oxford organized meetings to assess the maturity of cybersecurity at the national level. This analysis was conducted using the Cybersecurity Capacity Maturity Model (CMM) for nations and resulted in five dimensions to be considered: 1)Develop a cybersecurity policy and strategy; 2) Promote a responsible culture and society in cybersecurity; 3) Enhance knowledge and capabilities in cybersecurity; 4) Establish effective legal and regulatory frameworks; and 5) Manage risks through standards and technologies. On June 29, 2021, the ITU (International Telecommunication Union) published its fourth ‘Global Cybersecurity Index,’ (GCI)[36] which ranked Morocco in 50th place out of 182 countries, marking a significant improvement of 43 positions compared to the previous evaluation.

In May 2022, the Deloitte Morocco Cybersecurity Center (MCC) signed a partnership agreement[37]with the Mohammed VI Polytechnic University (UM6P) aimed at promoting research and development in cybersecurity with a focus on ‘Pan-African development.’ The agreement also aims to support talent development through education and research projects. Additionally, in the same year, Morocco signed the 2nd Additional Protocol to the Budapest Convention on Cybercrime in Strasbourg[38], which focuses on strengthen ing cooperation and the disclosure of electronic evidence.

Among the significant milestones accomplished in 2023, one notable achievement is the publication by the DGSSI in March 2023 of a list comprising eight certified service providers[39]. This list includes four Moroccan companies (Dataprotect[40], LMPS[41], DXC Technology[42], and Near Secure[43]), and four representatives from international corporations (Thales Holding Morocco, Orange Cyberdefense Maghreb and West Africa, PwC, and Sekera Services).



Cybersecurity Wellness in Morocco: Challenges and Recommendations
Enhancing the digital security posture of Morocco is crucial, and this effort involves tackling various challenges that cybersecurity in the country encounters. Some of the key challenges include:

Lack of awareness and education about cybersecurity threats and best practices, which can result in a poor security hygiene and high vulnerability to cyberattacks.
Shortage of skilled and well-trained workforce to effectively combat evolving cyber threats.
Budget constraintsencountered by small and medium-sized enterprises (SMEs) as well as public institutions when it comes to making substantial investments in robust cybersecurity measuresand solutions.
Regulatory and compliance gaps, particularly in terms of incomplete legislation, inadequate penalties, industry-specific regulations and international standards alignment.
Cross-border threats,with limited international agreements and varying legal frameworks among countries,cross -border threats also present several challenges such as the difficulty to identify the exact source of a cyberattack and the complexity to determine which country’s laws applyand how to collaborate with foreign authorities.
Legacy systems, some critical infrastructure and government systems in Morocco still use legacy systems that rely on outdated and unsupported technology, which are often more vulnerable to cyber threat, mainly because of their incompatibility with modern security measures, the lack of security updates, and the difficulty in implementing access controls.
Growth of cybercrime,notably ransomware attacks, social engineering attacks and financial frauds,poses a significant threat to all society. These attacks become prevalent in Moroccoand exploit human psychology and ignorance to bypass technical security measures, hence, cause severe consequences and financial lossesfor businesses and individuals.
Absence of well-defined incident response planning in many organizations, including those in Morocco. This lack of preparedness can have serious consequences such as delayed response leading to potential impact, financial and reputational damages, regulatory non-compliance leading to penalties, as well as confusion and panic among employees and stakeholders.
To enhance cybersecurity wellness in Morocco, a holistic approach involving individuals, businesses, government agencies, and cybersecurity professionals is crucial. Here are some recommendations to strengthen cybersecurity in the country:

National Cybersecurity Strategy: Establish and execute a comprehensive national cybersecurity strategy outlining the country’s cybersecurity goals, priorities, and action plans.
Public Awareness Campaigns:Initiate cybersecurity-focused awareness campaigns to educate individuals, employees, businesses and governmental bodies about the significance of cybersecurity and the perils of cyber threats, as well as to promote safe online practices, and how to identify and respond to attacks and scams.
Education and Training: Allocate resources towards cybersecurity education and training initiatives across various levels, spanning from educational institutions like schools and universities to businesses and government organizations.
Regulatory Framework:Strengthen and enforce cybersecurity regulations and standards, particularly for critical infrastructure sectors, and encourage compliance with international cybersecurity standards and best practices.
Skilled Workforce Development:Promote cybersecurity workforce development through investments in training programs, certifications, and initiatives aimed at attracting and retaining skilled professionals in the field of cybersecurity.
Regular Software Updates: Ensure that software and systems are regularly updated with security patches to address known vulnerabilities.
Incident Response Planning:Develop and regularly test and update incident response plans for both businesses and government entities, with the goal of reducing the impact of cyberattacks and ensuring a swift recovery.
Audits de sécurité réguliers : Effectuez régulièrement des audits et des évaluations de sécurité sur les infrastructures critiques et les systèmes gouvernementaux afin d’identifier les vulnérabilités et de hiérarchiser les mesures correctives. De plus, partagez les résultats et les informations obtenus pour améliorer les pratiques globales en matière de cybersécurité.
Signalement des incidents : Encourager les organisations à signaler rapidement les cyberincidents aux autorités compétentes afin de faciliter les enquêtes et les interventions.
Surveillance continue : Intégrez des solutions de surveillance continue pour détecter et réagir aux cybermenaces en temps réel.
Investissement dans la technologie : Tenez-vous au courant des dernières avancées en matière de technologies et de solutions de cybersécurité pour vous protéger contre les menaces en constante évolution. Il s’agit notamment de tirer parti d’outils tels que les systèmes de détection d’intrusion, la sécurité des terminaux, les ressources de cyber-intelligence et les technologies de surveillance du réseau.
Soutien gouvernemental aux PME : Fournir un soutien et des ressources aux petites et moyennes entreprises (PME) pour qu’elles améliorent leur posture en matière de cybersécurité.
Partenariats public-privé : Favoriser la collaboration et les partenariats entre le gouvernement, les entreprises et les organisations de cybersécurité afin d’améliorer les capacités de cybersécurité et de partager les ressources pour la défense collective.
Collaboration internationale : Collaborer avec les organisations internationales et les pays voisins sur des initiatives, des normes/pratiques et des échanges d’informations en matière de cybersécurité afin de lutter contre les cybermenaces transfrontalières.
Amélioration continue : Reconnaissez que la cybersécurité est un processus continu et que l’amélioration continue est essentielle. Restez vigilant, adaptez-vous aux menaces émergentes et mettez à jour vos stratégies en conséquence.
En mettant en œuvre ces recommandations et en favorisant une culture de la cybersécurité, le Maroc peut renforcer sa posture de cybersécurité, protéger les infrastructures critiques et atténuer les risques associés aux cybermenaces. La collaboration, l’éducation et les mesures proactives sont essentielles à la création d’un environnement numérique plus sûr dans le pays.



Conclusion
Le Maroc a fait des progrès significatifs dans le domaine de la cybersécurité, reflétant sa reconnaissance croissante de l’importance de la protection de son infrastructure numérique et de ses données. Dans un premier temps, le Maroc a démontré son engagement à renforcer la cybersécurité à travers la création d’institutions et de cadres dédiés tels que la DGSSI, l’ANRT, le ma-CERT, le CNDP, le CRMPI. En outre, le gouvernement marocain a promulgué des lois et des réglementations relatives à la cybersécurité visant à lutter contre divers aspects des cybermenaces, de la protection des données et de la cybercriminalité. Le Maroc a reconnu très tôt l’importance de la sensibilisation et de l’éducation aux menaces de cybersécurité et a été pionnier dans le lancement de programmes éducatifs et de campagnes de sensibilisation ciblant les entreprises et les particuliers. En outre, le Maroc s’est activement engagé dans l’implication du secteur privé et en collaboration avec des organisations internationales (comme l’Union africaine (UA) et l’Union internationale des télécommunications (UIT), ainsi qu’avec les pays voisins pour renforcer les défenses du pays en matière de cybersécurité. Certes, le Maroc a reconnu l’importance d’une posture de cybersécurité robuste pour le bien-être économique du pays, et a fait preuve de vigilance face au paysage en constante évolution des cybermenaces et aux nouveaux défis soulevés par les avancées technologiques (IoT, Cloud computing, technologies mobiles, etc.). Cette prise de conscience a conduit à des efforts constants pour adapter et renforcer les mesures de cybersécurité tout en respectant la réglementation et en restant à jour avec les derniers développements technologiques. Enfin, comme tout pays, le Maroc continue de faire face à des défis permanents dans la lutte contre les cybermenaces. Cela nécessite une adaptation et des investissements constants dans les ressources humaines, la coopération internationale et les solutions technologiques pour assurer une posture de cybersécurité robuste.



Notes
[1] (en anglais)Cybersécurité et cyberguerre : ce que tout le monde doit savoir. P.W. Singer et Allan Friedman, Oxford University Press 2014. ISBN : 978-0-19-991811-9, 306 pages

[2] Le nombre d’appareils de l’Internet des objets (IoT) dans le monde devrait presque doubler, passant de 15,1 milliards en 2020 à plus de 29 milliards d’appareils IoT en 2030 (https://www.statista.com/statistics/1183457/iot-connected-devices-worldwide/). Le marché de l’IoT grand public au Maroc devrait atteindre 0,86 milliard d’euros d’ici 2023 et se poursuivre avec un taux de croissance annuel (TCAC 2023-2028) de 2,44%, conduisant à un volume de marché de 0,97 milliard d’euros d’ici 2028 (https://es.statista.com/outlook/tmo/internet-of-things/consumer-iot/morocco).

[3] BYOD est l’abréviation de « Bring Your Own Device ». Il s’agit d’une pratique dans laquelle les employés ou les individus sont autorisés à utiliser leurs appareils électroniques personnels pour des tâches liées au travail et à accéder aux réseaux ou aux données de l’entreprise. Le BYOD est souvent mis en œuvre pour améliorer la flexibilité et la commodité des employés, car ils peuvent utiliser des appareils avec lesquels ils sont familiers, mais il présente également des défis liés à la sécurité, à la confidentialité des données et à la gestion des appareils.

[4] Il est difficile de déterminer le niveau de financement consacré au développement des cybercapacités au Maroc, car le budget n’est pas accessible au public.

[5] (en anglais seulement)Taieb Debbagh, « 15 ans de Cybersécurité au Maroc » 2020. https://cyber4d.org/le-livre-blanc/

[6] Kaspersky. (2020). Bulletin de sécurité Kaspersky 2020 – Statistiques. https://go.kaspersky.com/rs/802-IJN-240/images/KSB_statistics_2020_en.pdf

[7] (en anglais seulement)INTERPOL (2022). Rapport d’évaluation des cybermenaces en Afrique. https://www.interpol.int/fr/content/download/ 19174/fichier/African%20Cyberthreat%20Assessment%20Report%202022-V2.pdf

[8] (en anglais seulement)Les chevaux de Troie peuvent être installés par le biais d’e-mails d’hameçonnage, de sites Web malveillants, de téléchargements intempestifs ou d’autres moyens.

[9]https://www.bladi.net/arnaque-internet-bcp-jeu-concours,87198.html

[10]https://lobservateur.info/article/105974/economie/cih-clients-pirates-suspects-arretes-quelles-lecons-a-tirer

[11]https://www.le1.ma/societe-generale-maroc-panique-a-bord/

[12] (en anglais seulement)Agence Marocaine de Presse (MAP), 2023.MAP Les sites web ciblés par une cyberattaque DDOS. https://www.mapnews.ma/en/actualites/general/map-websites-targeted-ddos-cyberattack

[13] Bulletin officiel. (2003). Loi 07-03. https://www.dgssi.gov.ma/sites/default/files/legislative/brochure/2023-03/loi%2007-03.pdf

[14] Union internationale des télécommunications (UIT). (2007). Programme mondial de cybersécurité (GCA). https://www.itu.int/en/action/cybersecurity/Pages/gca.aspx

[15] Bulletin officiel. (2007). Loi n° 53-05 relative à l’échange électronique de données juridiques. https://www.dgssi.gov.ma/fr/loi-53-05-relative-lechange-electronique-de-donnees-juridiques

[16] (en anglais seulement)Rapport spécial n° 05/13/CH IV : Evaluation de la stratégie « Maroc Numérique 2013 » (2014). La Cour des comptes, Royaume du Maroc. https://www.courdescomptes.ma/publication/evaluation-de-la-strategie-maroc-numeric-2013/

[17] CNDP. (2009). Loi 09-08_personal la protection des données. https://www.cndp.ma/images/lois/Loi-09-08-Fr.pdf

[18]https://www.cndp.ma/fr/

[19]https://www.dgssi.gov.ma/fr/macert

[20] Bulletin officiel (2011). Décret 2-11-509 : Organisation de l’Administration de la Défense Nationale et création de la Direction Générale de la Sécurité des Systèmes d’Information. https://www.dgssi.gov.ma/fr/dgssi

[21] Bulletin officiel (2011). Loi 31-08 sur la protection du consommateur. https://www.dgssi.gov.ma/sites/default/files/legislative/brochure/2023-07/loi%2031-08.pdf

[22] DGSSI. (2012). Stratégie Nationale en matière de cybersécurité. https://www.dgssi.gov.ma/sites/default/files/publications/pdf/2022-10/strategie_nationale.pdf

[23] Conseil de l’Europe (1981). CONVENTIONPOUR LA PROTECTION DES PERSONNES À L’ÉGARD DU TRAITEMENT AUTOMATISÉ DES DONNÉES À CARACTÈRE PERSONNEL. https://www.cndp.ma/images/lois/convention-108.pdf

[24]http://www.cmrpi.ma

[25]Union internationale des télécommunications (2015). Indice mondial de cybersécurité et profils de cyberbien-être. https://www.itu.int/pub/D-STR-SECU-2015

[26]Profil de cyberbien-être du Maroc, pages : 342-344. https://www.itu.int/pub/D-STR-SECU-2015

[27] Bulletin officiel n° 6458 (2016). Décret n° 2-15-712 fixant le dispositif de protection des systèmes d’information sensibles des infrastructures vitales. http://www.sgg.gov.ma/Portals/0/BO/2016/BO_6458_Fr.PDF?ver=2016-05-05-092424-563

[28] BANQUE AL-MAGHRIB (2016). Directive n° 3/W/16. https://www.apsf.pro/DOCS/TEXTES%20LEG%20ET%20REG/CEC_2016-06-01/C-3-W-16-modifiant-et-completant-C-26G2006-exigences-FP–approche-standard.pdf

[29] Union internationale des télécommunications (2017). Indice mondial de cybersécurité.

https://www.itu.int/pub/D-STR-GCI.01-2017

[30]DGSSI. (2013). Directive Nationale de la Sécurité des Systèmes d’Information. http://www.abhatoo.net.ma/content/download/28456/614926/version/1/file/DIRECTIVE+NATIONALE+DE+LA+SECURITE+DES+SYSTEMES+D%27INFORMATION+URL+%28web%29+140523-DIRECTIVE+NATIONALE+DE+LA+SECURITE+DES+SYSTEMES+D%27INFORMATION-.pdf

[31] Union internationale des télécommunications (2018). Indice mondial de cybersécurité. https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-PDF-E.pdf

[32]PwC, CIO et CSO (2018). Enquête mondiale 2018 de PwC sur l’état de la sécurité® de l’information – Focus Maroc. https://fr.readkong.com/page/focus-maroc-1687925

[33]DGSSI (2019). RÉFÉRENTIEL D’EXIGENCES RELATIF À LA QUALIFICATION DES PRESTATAIRES D’AUDIT DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION. https://www.dgssi.gov.ma/sites/default/files/publications/pdf/2022-10/referentiel_dexigences_relatif_a_la_qualification_des_passi.pdf

[34] DGSSI. (2020). Note de présentation de la loi N°05-20 sur la cybersécurité. https://dgssi.gov.ma/sites/default/files/legislative/brochure/2022-10/presentation_note_of_the_law_n_deg_05-20_on_cybersecurity_-_english_version.pdf

[35] DGSSI (2020). Note de présentation de la loi N°43-20 relative aux services de confiance pour les transactions électroniques. https://www.dgssi.gov.ma/sites/default/files/legislative/brochure/2023-03/presentation%20note%20of%20the%20law%20n%20deg%2043-20%20english%20version.pdf

[36] Union internationale des télécommunications (2021). Indice mondial de cybersécurité (GCI). https://www.itu.int/epublications/publication/D-STR-GCI.01-2021-HTM-E

[37]https://www.um6p.ma/en/um6p-and-deloitte-morocco-cyber-center-sign-cooperation-agreement-scientific-and-technological

[38] Agence Marocaine de Presse (MAP), 2022. https://www.mapnews.ma/en/actualites/politics/morocco-signs-second-additional-protocol-budapest-cybercrime-convention

[39] DGSSI (2023). Prestataires d’Audit de la Sécurité des Systèmes d’Information qualifiés. https://www.dgssi.gov.ma/fr/prestations-et-produits-reglementes

[40]https://www.dataprotect.ma/

[41]https://www.lmps-group.com/fr/

[42]https://www.dxc-maroc.com/

[43]https://www.nearsecure.com/

Hind Idrissi
Dr. Hind Idrissi occupe actuellement le poste de professeure de cybersécurité à l’Université Sultan Moulay Slimane au Maroc, en plus de ses rôles de consultante et de formatrice dans le même domaine. Elle est titulaire d’un doctorat en informatique et sécurité de l’information de l’Université de La Rochelle en France et d’un master spécialisé en cryptographie et sécurité de l’information (CRYPTIS) de l’Université de Limoges en France. Le Dr Idrissi a été chercheur postdoctoral au sein de l’Insight Center for Data Analytics de l’University College Cork (Irlande) pendant près de trois ans. De plus, elle a occupé des postes de chercheuse invitée et d’assistante d’enseignement dans diverses institutions. Le Dr Idrissi est l’auteur de nombreux articles de recherche et chapitres de livres, tout en restant membre de plusieurs organisations de recherche réputées. Son implication s’étend au-delà de la recherche, puisqu’elle s’engage activement dans des efforts visant à accroître la sensibilisation à la cybersécurité, le leadership et l’éducation à la citoyenneté. Ses intérêts de recherche dans le domaine cybernétique comprennent la cryptographie, les technologies d’amélioration de la protection de la vie privée, l’infonuagique et l’IdO, la chaîne de blocs, la gestion des identités et des accès et l’intelligence artificielle.



https://mipa.institute/en/10778