Souveraineté numérique : tout ce qui reste à faire

La souveraineté numérique s’impose comme un enjeu stratégique pour la protection des données sensibles et la résilience des infrastructures critiques. Entre dépendance technologique, contraintes extraterritoriales et impératifs de cybersécurité, le pays affine ses règles du jeu pour garantir un contrôle effectif sur ses données et systèmes. Mais…

«Le cloud souverain, ça veut tout dire et ça ne veut rien dire». Abderrahmane Mounir, PDG de Maroc Data Center, prévient d’emblée. Derrière cette formule, une réalité complexe. La souveraineté numérique ne se décrète pas, elle se construit sur plusieurs plans.

D’abord, elle commence par une exigence physique. Pour être souverain, un cloud doit impérativement être localisé sur le territoire national.

«Il faudrait que physiquement le cloud soit au Maroc pour qu’il soit souverain», insiste Mounir. La localisation du data center détermine en grande partie la capacité d’un État à contrôler et protéger les données qu’il abrite. Mais la souveraineté ne se limite pas aux murs d’un centre de données. Elle repose aussi sur la capacité à gouverner et maîtriser tout l’écosystème numérique.

«Vous parlez de souveraineté quand vous avez une maîtrise totale de votre data center et des données qui sont à l’intérieur», rappelle-t-il.

Cette maîtrise doit s’étendre à l’exploitation quotidienne, à la maintenance et à la sécurisation des données hébergées. Cependant, même si un État contrôle ses infrastructures, un verrou demeure : celui de la dépendance technologique. «Les deux seuls pays qui peuvent prétendre être souverains dans la technologie, ce sont les Américains et les Chinois. Nous, nous sommes consommateurs d’une technologie américaine, d’une technologie chinoise, d’une technologie européenne», constate Mounir.

Le Maroc, comme la majorité des pays, ne développe pas ses propres équipements, systèmes d’exploitation ou logiciels de virtualisation. Il importe donc des solutions clés en main auprès de géants internationaux, ce qui limite forcément son autonomie.

Pour contourner cette dépendance, Mounir plaide pour des partenariats technologiques plus équilibrés. «Il faut travailler avec des éditeurs qui vous donnent la possibilité d’avoir une certaine maîtrise sur leur technologie». Ainsi, il valorise les fournisseurs dits open book, qui partagent leur savoir-faire et leur documentation technique sans verrouillage systématique. «On aime bien travailler avec certains éditeurs parce qu’ils sont open book, parce que vous pouvez gérer leur technologie sans les appeler à chaque fois», précise-t-il. À l’inverse, des éditeurs plus opaques peuvent poser des problèmes de réactivité et de dépendance critique.

Un risque souvent ignoré
Au-delà de la technologie et de l’infrastructure, la souveraineté numérique doit composer avec des contraintes juridiques internationales. Selon Mounir, «Vous pouvez avoir des données dans votre pays, dans votre data center, mais une loi d’un autre pays peut exiger que vous donniez les données de vos clients à tel ou tel État».
Ce risque est incarné par le Cloud Act américain, une loi fédérale à portée extraterritoriale.

«C’est une loi qui impose aux sociétés américaines, là où elles sont dans le monde, de communiquer les données si l’État américain le leur demande», détaille-t-il.

Cette obligation peut entrer en conflit avec d’autres cadres réglementaires comme le RGPD européen. Un autre texte américain, le FISA (Foreign intelligence surveillance act), va encore plus loin en matière de surveillance. Ces lois rappellent que la souveraineté numérique n’est jamais totalement garantie tant qu’un opérateur dépend de sociétés étrangères soumises à des législations incompatibles. «Il faut se protéger contre ces lois-là, surtout pour certains organismes sensibles», recommande-t-il. Pour répondre à ces vulnérabilités, le Maroc avance vers une régulation plus stricte. Depuis octobre 2024, un décret de la DGSSI pose les fondations d’une gouvernance nationale plus cohérente (voir encadré).

Une chose est certaine : aucune souveraineté numérique ne peut être crédible sans cybersécurité solide. Pourtant, comme le rappelle Mounir, la menace est constante : «On n’est jamais prémuni contre des attaques. Il y en a tous les jours». Certaines passent inaperçues, d’autres déclenchent des crises médiatiques et politiques.

Pour y faire face, le Maroc s’est doté d’une directive nationale de la sécurité des systèmes d’information, alignée sur les standards internationaux comme l’ISO 27001. «La DGSSI a fait son travail. Maintenant, il faut renforcer la mise en place de cette politique de sécurité», plaide Mounir, en pointant des budgets encore insuffisants et un manque de compétences spécialisées.

Des pratiques encore trop basiques
Du côté des opérateurs privés comme Maroc Data Center, la sécurisation se fait à plusieurs niveaux. D’abord, une sécurité périmétrique protège les infrastructures contre des attaques massives. Mais une part du risque incombe toujours aux utilisateurs : «Si un client laisse son mot de passe 1234, moi je ne peux rien faire», prévient-il.

Pour renforcer la résilience, des mesures de base doivent être systématisées : authentification à deux facteurs, mots de passe robustes, limitation des droits d’accès, traçabilité des actions grâce à la journalisation des logs. «Garder la traçabilité, c’est ce qu’on appelle la journalisation. Quand il y a un problème, vous pouvez revenir et faire du forensic», souligne Mounir.

Sans ces précautions élémentaires, même la meilleure infrastructure reste vulnérable. D’autant que les attaques ciblent souvent l’utilisateur final par ingénierie sociale plus que par piratage technique pur. Les attaques récentes, comme celle ayant visé le système d’information de la CNSS, ont au moins eu le mérite de provoquer un wake-up call salutaire.

«Tous nos clients ont demandé des audits, des conseils. Il y a eu énormément de serrage dans le système après ces incidents», observe Mounir. La mise en place de politiques de sécurité plus strictes, l’audit des infrastructures et la certification des opérateurs devraient accélérer la maturation de l’écosystème numérique marocain.

La DGSSI : un cadre structurant et sécurisant

Au Maroc la classification des données au sein des administrations et organismes publics, ainsi que des infrastructures d’importance vitale, est régie principalement par la Loi n°05-20 relative à la cybersécurité et son décret d’application n°2-21-406, ainsi que par la Directive nationale de la Direction Nationale de la Sécurité des Systèmes d’Informations (DNSS) émise par la Direction Générale de la Sécurité des Systèmes d’Informations (DGSSI).

La classification se base sur l’impact potentiel des incidents de cybersécurité sur les actifs informationnels. Cette classification s’étend également aux systèmes d’information critiques, dont certains, bien que basés sur des données publiques, doivent impérativement garantir une disponibilité et une sécurité maximale. C’est par exemple le cas des systèmes gérant le trafic aérien ou les prévisions météorologiques.

Sur la base de cette cartographie, la DGSSI dispose du décret n° 2-24-291, publié en octobre 2024, qui fixe des règles précises sur les conditions d’hébergement des données souveraines. Ce texte impose notamment que seuls les data centers certifiés par le gouvernement peuvent héberger certains types de données sensibles.

Cette certification garantit que les infrastructures respectent des standards stricts de sécurité, de gouvernance et de continuité de service. Elle vise aussi à prévenir les risques liés à une éventuelle cession des opérateurs à des entités étrangères, qui pourrait compromettre la souveraineté nationale. La DGSSI prend aussi en compte la dimension des lois extraterritoriales, comme le Cloud Act américain, qui peut contraindre des fournisseurs étrangers à transmettre des données hébergées au Maroc. Elle sensibilise ainsi les acteurs nationaux à la nécessité de choisir des partenaires technologiques offrant un degré de transparence suffisant et une maîtrise réelle de leur technologie.

En matière de cybersécurité, la DGSSI a mis en place une directive nationale, conforme aux normes internationales ISO 27001, qui sert de référentiel pour la protection des systèmes d’information étatiques. Cette directive recommande des bonnes pratiques essentielles ainsi que la mise en place de systèmes de gestion de la sécurité et de centres opérationnels de sécurité (SOC). La DGSSI insiste sur la nécessité de renforcer la mise en œuvre de ces mesures, notamment en augmentant les budgets dédiés et en développant les compétences humaines spécialisées.

Hicham Bennani, Mariem Ouazzani et Sanae Raqui / Les Inspirations ÉCO