Une «sous-problématique» pour les entreprises
La cybersécurité continue d’être perçue comme une problématique technique et est donc naturellement rattachée à la DSI des organisations. Pourtant, les entreprises marocaines ont consacré en 2017 à leur cyber-sécurité des budgets en hausse significative par rapport à 2016, largement supérieur au panel mondial (11% du budget IT au Maroc contre 4% dans le monde).
Dans un contexte de transformation digitale de plus en plus prégnant, les entreprises marocaines prendraient de plus en plus conscience des risques encourus et des enjeux en matière de cybersécurité. C’est en tout cas ce que révèle la première déclinaison marocaine de l’étude du cabinet de conseil et d’audit PwC «The Global State of Information Security Survey». Cette étude mondiale réalisée en collaboration avec CIO et CSO magazine propose pour la première fois un état des lieux des enjeux de la cybersécurité au Maroc. Cependant, «70% des répondants déclarent que leur stratégie de cybersécurité n’est pas implémentée à une vitesse suffisante». Ce sont en majorité les grandes entreprises qui se montrent proactives et qui prennent la mesure du cyber-risque. Les petites et moyennes entreprises restent globalement réactives et ne prennent pas la mesure du cyber-risque qu’à la suite d’un incident ou des recommandations d’un audit. Il est à noter qu’au Maroc, la conformité réglementaire reste l’élément moteur majeur poussant les entreprises à investir en matière de cybersécurité devant la transformation digitale des organisations. La majorité des entreprises considèrent encore la cyber-sécurité comme un problème purement technique et non comme relevant de la gouvernance d’entreprise.
De fait, 75% des entreprises sondées déclarent avoir désigné un responsable de la sécurité des systèmes d’information (RSSI) rattaché à leur Direction des systèmes d’information (DSI) et non au Comité de direction. Seulement 25% des organisations qui ont défini une gouvernance en ont approuvé son cadre au niveau du Comité de direction. 70% des entreprises interrogées déclarent avoir détecté moins de 50 incidents de sécurité au cours des 12 derniers mois tandis que 10% n’en déclarent aucun. 39% d’entre elles ne sont par ailleurs pas capables d’identifier l’origine des incidents en matière de cyber-sécurité. L’étude révèle également que les entreprises n’ont pas toutes mené une analyse de risques sur leurs infrastructures internes et sur leurs prestataires. L’utilisation de logiciels malveillants est citée comme vecteur principal des cyberattaques au sein de l’entreprise au Maroc. En effet, 25% des entreprises interrogées estiment que ceux-ci sont à l’origine des incidents de sécurité subis en 2017. Face à ces constats, les entreprises marocaines ont consacré en 2017 à leur cyber-sécurité des budgets en hausse significative par rapport à 2016, largement supérieur au panel mondial (11% du budget IT au Maroc contre 4% dans le monde).
«Les dispositifs mis en place par les organisations sont encore parcellaires. Globalement, les entreprises marocaines ne sont réactives que post incidents ou post audit. Elles sont encore trop rarement proactives. Les entreprises ont globalement encore un chemin significatif à parcourir pour atteindre un niveau de maturité acceptable au regard des risques à couvrir», explique le rapport de Nabil Kettani, associé digital & expérience chez PwC au Maroc. Au niveau gouvernemental, la Direction générale de la sécurité des systèmes d’information a été créée par décret le 21 septembre 2011. Elle est rattachée à l’administration de la défense nationale et est chargée, entre autres, de coordonner les travaux interministériels relatifs à la mise en œuvre de la stratégie de sécurité des systèmes d’information mais aussi de veiller à l’application des directives du comité stratégique créé par le décret n° 2-11-508 C’est à l’institution que revient la certification des dispositifs de création et de vérification des signatures électroniques ainsi que l’agrément des prestataires de service pour la certification électronique.
Méthodologie
Cette enquête a été réalisée en ligne du 5 mars au 6 avril 2018. Les résultats présentés se fondent sur les réponses de 50 entreprises marocaines à plus de 40 questions relatives à la sécurité de l’information et aux moyens de protection mis en œuvre par celles-ci. 50% des entreprises interrogées opèrent dans le secteur de l’industrie, des services et produits de consommation, 24% dans les services financiers, 16% dans les télécoms, médias et technologies et 10% dans le secteur public.