La récente cyberattaque contre la Caisse Nationale de Sécurité Sociale (CNSS) et le ministère de l’Inclusion ?conomique, de la Petite Entreprise, de l’Emploi et des Compétences (MIEPEEC), revendiquée par le groupe de hackers JabaRoot DZ, a mis en lumière plusieurs enjeux majeurs liés à la cybersécurité des institutions marocaines. Derrière l’incident, une réalité s’impose : il ne s’agit plus seulement de protéger des données, mais de garantir la continuité, la confiance et la performance des services administratifs à l’ère numérique.

Les auteurs de l’attaque ont affirmé avoir accédé à des informations sensibles, telles que des certificats de salaire ou des listes d’employés. Plus que le contenu lui-même, c’est l’existence d’une faille qui interpelle. Dans un environnement où l’Administration s’appuie de plus en plus sur des infrastructures digitales interconnectées, toute brèche, même ponctuelle, peut provoquer un effet domino sur la crédibilité, la sécurité et la souveraineté fonctionnelle des services publics.

Reconnaître les piliers de la cybersécurité nationale

Deux institutions marocaines jouent un rôle structurant dans ce domaine : la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI) et la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP).

La DGSSI ne se limite pas à produire des lignes directrices : elle audite, forme, accompagne et anticipe. Son rôle est stratégique dans la consolidation d’un socle national de cybersécurité. De son côté, la CNDP incarne une vigie institutionnelle pour la protection des données personnelles. Elle veille à leur traitement éthique et légal, dans un contexte de numérisation accélérée.

Ces deux structures, déjà crédibles et compétentes, doivent désormais être pleinement opérationnalisées, notamment à la veille de la Coupe d’Afrique 2025 et dans la perspective de la co-organisation de la Coupe du monde 2030. Dans un monde où l’image d’un pays peut être fragilisée par un simple incident numérique, leur rôle devient central.

Dans cette dynamique, la DGSSI a actualisé en 2023 la Directive Nationale de la Sécurité des Systèmes d’Information (DNSSI). Cette directive impose aux administrations et infrastructures vitales un ensemble cohérent de mesures de sécurité organisationnelles et techniques, avec un délai de six mois pour se mettre en conformité. C’est un levier structurant qui mérite une application rigoureuse et un pilotage continu.

Former, anticiper, professionnaliser

La cybersécurité n’est pas qu’une affaire de technologies : elle est avant tout humaine. Plusieurs universités marocaines ont intégré des formations dédiées à la cybersécurité, y compris au niveau des masters. Mais la formation continue, à tous les niveaux — ingénieurs, agents, décideurs — reste encore trop marginale. Elle doit devenir un pilier systémique de toute stratégie publique ou privée.

Le Maroc dispose d’un gisement exceptionnel de compétences, aussi bien sur le territoire qu’au sein de sa diaspora. L’enjeu n’est pas tant de créer plus de programmes que de bien identifier, filtrer et mobiliser les profils les plus qualifiés. La gestion des talents, dans ce domaine, est une arme stratégique.

Les quatre piliers d’une cybersécurité robuste

Pour garantir une résilience durable, la stratégie nationale devrait reposer sur quatre fondements complémentaires :

1. Les compétences humaines : La sécurité commence avec les individus. Sensibiliser, former, responsabiliser : chaque acteur de l’écosystème doit comprendre son rôle dans la protection des données et des systèmes. Cela suppose des campagnes récurrentes, des formations adaptées et des évaluations concrètes.

2. Gouvernance : Une clarification des rôles s’impose. Il faut séparer la gestion IT de la sécurité des systèmes d’information, qui nécessite une autonomie décisionnelle, des mécanismes de contrôle indépendants, et des outils d’audit. Cela permet d’éviter les conflits d’intérêt et d’assurer une supervision saine et proactive.

3. Techniques : La technologie reste un pilier critique. Il faut des solutions éprouvées, résilientes, compatibles entre elles. Les systèmes doivent intégrer la sécurité dès la conception : une architecture « by design » qui anticipe les risques, plutôt que de les corriger après coup.

4. Processus : L’efficacité repose sur des processus clairs, testés et bien documentés. Détection, réponse, remédiation, continuité d’activité : chaque institution doit disposer de protocoles activables immédiatement, assortis d’alertes, de simulations et de retours d’expérience formalisés.

Un cadre budgétaire réaliste et structurant

La sécurité a un coût, mais c’est surtout un investissement. Pour construire une cybersécurité pérenne, les benchmarks internationaux recommandent de consacrer jusqu’à 30 % du budget technologique initial à la mise en place de l’écosystème de cybersécurité. Il s’agit de créer les fondations (infrastructures, gouvernance, outils, formations). Par la suite, 10 % de tout nouvel investissement numérique devrait être systématiquement réservé à la sécurisation continue des systèmes.

Pour une cybersécurité validée en amont

Afin d’éviter la multiplication des failles à la racine, une étape structurante serait de soumettre chaque cahier des charges de projet numérique à une validation technique indépendante. Cette validation pourrait être assurée par une structure dédiée, adossée à la DGSSI, afin de ne pas alourdir ses charges opérationnelles, tout en garantissant la cohérence des architectures et le respect des normes nationales. Ce filtre permettrait d’écarter les solutions non résilientes ou incompatibles avec l’écosystème national.

S’inspirer des standards internationaux

Le NIST Cybersecurity Framework utilisé aux ?tats-Unis est un modèle d’inspiration. Il repose sur cinq fonctions : identifier, protéger, détecter, répondre et récupérer. Ce cadre, souple et évolutif, peut être adapté à chaque secteur et constitue une référence précieuse pour enrichir un cadre marocain harmonisé et efficace.

Transformer l’alerte en levier de transformation

Cette cyberattaque n’est pas un simple incident : c’est un signal stratégique. Elle rappelle que le Maroc, tout en accélérant sa transition numérique, doit intégrer la cybersécurité comme une composante à part entière de ses politiques publiques.

Le pays dispose des institutions, des compétences et de la volonté pour faire de la cybersécurité un axe structurant de sa modernisation. Mais il faudra aller plus loin : aligner les budgets, clarifier la gouvernance, valoriser les talents et inscrire la sécurité dans chaque projet dès l’amont.

La confiance numérique ne se décrète pas. Elle se construit, méthodiquement, à travers des choix pertinents, des mécanismes rigoureux et une approche harmonisée.

Source : Le Matin