Cybersécurité au Maroc : challenges et opportunités
Omar Benaicha
Directeur général Afrique chez Certi-Trust Group*
Les attaques de cybersécurité ont augmenté de façon exponentielle et se banalisent pour plusieurs raisons, dont la digitalisation, accélérée par les contraintes liées au confinement et au développement du télétravail. On peut citer, également, le déploiement croissant des moyens de connexion, la plateformisation, le développement des cryptomonnaies et enfin la difficulté de prévention et de répression de la cybercriminalité.
Ainsi, dans ce domaine, s’il faut prévenir, il faut également être en mesure de guérir, les entreprises n’étant pas toutes suffisamment outillées en matière de prévention.
En effet, les attaques deviennent de plus en plus sophistiquées et les vulnérabilités se multiplient du fait de l’exposition accrue des utilisateurs, pour les motifs évoqués précédemment.
À mon sens, les entreprises ont au moins besoin, d’abord en interne, de classer leurs actifs et leurs informations sensibles, renforcer leur veille (le CERT, mis en place par la DGSSI, est une source précieuse d’informations sur les différentes menaces qui frappent à nos portes), réaliser une analyse de risque pour identifier les menaces, les vulnérabilités et les conséquences d’un risque de cyberattaque, former et sensibiliser leurs employés…
En externe, il faut recourir à des professionnels pour les aider à réaliser ces classifications, à évaluer, auditer et certifier leurs systèmes de management de la sécurité de l’information et analyses et enfin, à surveiller leurs systèmes d’information.
Au niveau des entreprises, la cybersécurité est devenue un risque majeur dans les cartographies des grands organismes publics ou privés. C’est un sujet qui devient récurrent dans les ordres du jour des COMEX de ces entreprises. Dans la plupart de ces dernières, des RSSI (Responsables sécurité des systèmes d’Information) sont nommés depuis déjà quelques années.
D’ailleurs, plusieurs ont déjà mis en œuvre des certifications comme l’ISO27001. Je me rappelle avoir remis les premiers certificats ISO27001 au Maroc il y a plus de huit ans. Il faut dire que la Direction générale de la sécurité des systèmes d’information (autorité nationale en la matière) a émis une directive en 2014 qui a donné un coup de boost chez ces grandes entreprises.
La loi 05/20 sur la cybersécurité qui vient d’être adoptée, avec déjà quelques textes d’application, renforce les exigences pour les grandes entreprises publiques et privées et, notamment, celles qui sont vitales pour l’économie et la souveraineté nationale. Dans les autres entreprises, et beaucoup moins chez les PME, la situation est un peu différente, et il est vrai que nous accusons un retard qu’il va falloir combler, au vu de l’accélération de la digitalisation.
Au-delà de la cybersécurité, c’est la souveraineté numérique qui est en jeu maintenant et cela, plusieurs pays ont commencé à le réaliser en s’activant à développer une stratégie d’anticipation et de cyberdéfense. Au Maroc, aujourd’hui, une industrie de la cybersécurité est en plein développement, alliant le conseil et la formation à la mise à disposition de services de SOC (Security operation center) ou encore de détection et de traitement des incidents de cybersécurité.
Maintenant, si les grands groupes ont les moyens de se mettre à niveau, il va falloir prévoir des programmes de soutien aux PME et, du moins, construire un écosystème de la cybersécurité où ces PME peuvent accéder à un minimum de services en matière de formation, de certification, de services et de solutions adéquates. Il en va de leur compétitivité et de leur pérennité.
La cybersécurité est un secteur d’innovation par excellence, et nous avons besoin, là aussi, d’un écosystème et de programmes appuyés par l’État pour faire émerger un savoir-faire technologique national qui peut même devenir un soft power pour le pays au niveau régional. Se mobiliser pour tous ces enjeux représente une urgence nationale, exacerbée par la rareté croissante des compétences et l’évolution fulgurante de la technologie.
* Spécialiste des services tierce partie de confiance numérique
