Cyberattaques ciblant le Maroc : le paradoxe de la digitalisation sans maturité sécuritaire (Tribune)

La séquence récente s’ouvre en avril 2025. Un groupe de hackers se présentant sous le nom de Jabaroot publie sur Telegram près de deux millions de données personnelles attribuées à la Caisse nationale de sécurité sociale. Les volumes revendiqués évoquent aussi plusieurs centaines de milliers d’entreprises. Comme toujours dans ce type d’affaire, les chiffres issus de revendications doivent être maniés avec prudence tant qu’ils ne sont pas établis par une expertise officielle ou indépendante. L’effet public, lui, est immédiat : la donnée sociale devient matière de pression.

En juin 2025, l’Agence nationale de la conservation foncière, du cadastre et de la cartographie (ANCFCC) est à son tour citée dans des revendications de fuite, avec plus de 4 téraoctets de données présentées comme exfiltrées. La nature des documents évoqués change la gravité de l’épisode. Des certificats de propriété, des actes de vente, des contrats notariés ou des éléments patrimoniaux n’ont pas le même statut qu’une base administrative ordinaire. Ils touchent à la sécurité juridique, à la confiance foncière et parfois à l’intimité économique des personnes concernées.

D’autres attaques ou divulgations ont ensuite visé des infrastructures comme les sites du ministère de l’Inclusion économique, de la petite entreprise, de l’emploi et des compétences, ainsi que des organismes sociaux. En janvier 2026, pendant la CAN 2025, la Fédération Royale marocaine de football est ciblée. Puis, en mars et avril 2026, la Caisse nationale des organismes de prévoyance sociale (CNOPS) est à son tour citée parmi les organismes frappés, avec plusieurs millions d’adhérents potentiellement concernés.

Parallèlement, une vague distincte touche la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), le site de l’ENCG Kénitra et la plateforme AI Movement de l’UM6P. Plus récemment encore, des actes de vente impliquant des personnalités publiques et des hommes d’affaires, des procurations et des contrats notariés provenant de la plateforme Tawtik, administrée par l’ANCFCC en lien avec le Conseil national de l’Ordre des notaires, sont divulgués dans le dark web. Le 18 mai 2026, plus de 690.000 lignes attribuées à la plateforme d’état civil Watiqa.ma sont diffusées sur Telegram.

Cette chronologie ne constitue pas une simple addition d’incidents. Elle montre un changement d’échelle. Les cibles sont variées, mais le mécanisme est commun : l’attaque technique devient une attaque contre la confiance. Elle ne vise pas seulement un serveur. Elle atteint la continuité du service, la réputation d’une institution, la sécurité des citoyens et la perception de la capacité publique à protéger ce qui a été numérisé.

Le premier enseignement tient à un paradoxe. Le Maroc dispose d’un cadre institutionnel et réglementaire reconnu. Selon l’indice de cybersécurité de l’Union internationale des télécommunications, le Royaume obtient un score de 97,5 sur 100 en 2024, l’un des meilleurs au monde. Il est également cité comme leader régional en Afrique et classé au 34e rang mondial dans le Global Cybersecurity Index. Ces résultats ne sont pas décoratifs. Ils traduisent des efforts réels : stratégie nationale, cadre légal, structures spécialisées, rôle central de la Directive nationale de sécurité des systèmes d’information (DGSSI), présence du maCERT et montée en puissance des dispositifs de gouvernance. Mais un cadre ne suffit pas à absorber une attaque. La conformité mesure l’existence de règles, d’institutions et de dispositifs. La résilience se vérifie dans les délais de réaction, la qualité des sauvegardes, le cloisonnement des bases, la supervision continue, la communication de crise et la capacité à restaurer un service sans aggraver le risque. C’est là que se situe le cœur du sujet.

Le Maroc ne souffre pas d’une absence de maturité numérique. Il affronte le défi classique des pays qui numérisent vite : la surface d’attaque grandit parfois plus rapidement que les réflexes de protection. Chaque plateforme mise en ligne, chaque registre numérisé, chaque base interconnectée crée un gain d’efficacité. Ils créent aussi un nouvel objet stratégique. La donnée publique n’est plus seulement un outil de gestion. Elle devient une ressource de pouvoir. Cette ressource peut être vendue, fragmentée, enrichie, croisée, utilisée pour du phishing, de l’usurpation, de l’extorsion, de la fraude ou de la propagande. Les données piratées sont rarement dévoilées en une seule fois. Elles circulent parfois dans des espaces fermés, se revendent sur le dark web en cryptomonnaies non traçables, puis réapparaissent au moment où leur diffusion produit le plus d’effet médiatique ou politique. Lorsqu’un acteur hostile cherche à déstabiliser un État, il dose les révélations pour entretenir un climat de suspicion durable. La fuite publique n’est souvent que la partie visible d’une compromission bien plus ancienne.

Le diagnostic ne tient pas dans une accusation simple. Il repose sur des fragilités qui se renforcent l’une l’autre. La plus visible concerne les systèmes anciens, hétérogènes ou insuffisamment maintenus. Les experts pointent régulièrement le phishing comme vecteur d’entrée privilégié. Des courriels imitant des clients, fournisseurs ou services officiels amènent un employé ou un fonctionnaire à ouvrir une pièce jointe piégée ou à cliquer sur un lien, déclenchant un ransomware ou une intrusion. Dans certains dossiers, une vulnérabilité critique chez un prestataire tiers, comme Oracle, dont une faille d’authentification avait été signalée en mars 2025, a également été envisagée parmi les hypothèses techniques. Ce point doit rester formulé comme hypothèse tant qu’aucune attribution officielle ne l’établit.

La chaîne de sous-traitance prolonge cette exposition. Dans le cas de la CNDP, l’incident a été associé à un plugin non mis à jour sur le site, une faille de maintenance élémentaire. Plus largement, chaque accès confié, chaque interface ouverte, chaque compte technique et chaque composant installé chez un prestataire devient un point de vigilance. La transformation numérique suppose des intégrateurs, des hébergeurs, des mainteneurs, des fournisseurs cloud et des développeurs externes. Cette externalisation est normale. Elle devient vulnérable lorsqu’elle n’est pas encadrée par des exigences contractuelles strictes, des audits réguliers, une journalisation effective, une notification d’incident et un contrôle fin des accès.

Or l’écart entre la réglementation et la réalité opérationnelle entretient précisément ce risque. Le score de 97,5 sur 100 de l’UIT témoigne d’un engagement sérieux. Il rappelle aussi qu’un indice mesure un cadre, pas toujours la robustesse quotidienne de chaque application. Le vrai test se joue dans les correctifs appliqués à temps, les sauvegardes testées, les bases segmentées, les droits revus, les alertes traitées et les procédures de crise répétées. Une sauvegarde non testée n’est pas une protection. C’est une promesse.

L’externalisation massive ajoute sa propre part au tableau. Selon le Baromètre 2025 de l’AUSIM, 64% des entreprises marocaines externalisent leur cybersécurité. Cette orientation peut être efficace lorsqu’elle s’appuie sur des prestataires qualifiés et des contrats exigeants. Elle devient risquée si elle crée une délégation sans contrôle, si les accès tiers ne sont pas inventoriés, si les responsabilités ne sont pas clarifiées ou si les incidents ne sont pas notifiés rapidement.

Reste l’intelligence artificielle, qui modifie l’économie même de la cyberattaque. Des campagnes de phishing peuvent désormais être rédigées dans un français, un arabe ou un anglais très crédible. Des scripts peuvent être générés, adaptés ou améliorés plus vite. La reconnaissance d’une cible peut être automatisée. Les deepfakes vocaux ou vidéo ouvrent de nouvelles formes d’usurpation d’identité. Pour des profils débutants, l’IA abaisse la barrière d’entrée. Pour les groupes expérimentés, elle agit comme un multiplicateur de puissance. La menace ne devient pas seulement plus fréquente. Elle devient industrielle.

La cybersécurité a longtemps été regardée comme un domaine réservé aux directions informatiques. Cette lecture n’est plus suffisante. La sécurité concerne le juriste qui valide un contrat de sous-traitance, le responsable métier qui demande un nouvel accès, l’agent qui reçoit un courriel suspect, le directeur qui arbitre un budget, le communicant qui doit informer sans minimiser ni paniquer et le dirigeant qui assume la continuité d’un service public. Le directeur général de la DGSSI a insisté, lors du GITEX Africa 2026, sur des défis qui dépassent le cadre technique pour toucher directement à la souveraineté. La cybersécurité n’est plus un coût de fonctionnement. Elle devient une condition de souveraineté opérationnelle, parce qu’elle décide de la capacité d’un pays à protéger ses données, ses services, ses citoyens et ses événements majeurs.

La DGSSI, placée auprès de l’Administration de la Défense nationale, dispose historiquement d’une culture de sécurité exigeante et joue un rôle central dans la protection des systèmes d’information sensibles. Les évolutions récentes de son statut doivent être comprises dans cette logique : renforcer l’attractivité de l’institution, élargir le vivier national d’expertise et intégrer davantage de profils spécialisés issus de parcours diversifiés, sans opposer compétences militaires et compétences civiles. L’enjeu n’est pas de suggérer que les compétences manqueraient. Il est de reconnaître que la demande de cybersécurité croît partout dans le monde plus vite que les viviers disponibles. Les profils en audit, forensic, réponse à incident, cryptographie, sécurité cloud, sécurité applicative, gouvernance des données ou protection industrielle sont recherchés par tous les États et par toutes les grandes entreprises. Pour le Maroc, consolider ces compétences devient un impératif stratégique.

Cette consolidation ne peut pas reposer uniquement sur l’État. Elle suppose une filière complète : formation initiale, formation continue, laboratoires universitaires, écoles d’ingénieurs, startups spécialisées, prestataires qualifiés, centres opérationnels de sécurité, capacités d’audit, partenariats internationaux et culture de cyber-hygiène dans les administrations comme dans les entreprises.

Les jeunes entreprises spécialisées ont ici un rôle à jouer. Certaines se heurtent à des barrières à l’entrée sur les marchés publics et privés : ancienneté insuffisante, absence de références en volume, seuils d’ingénieurs non atteints. Or leur principale force réside précisément dans la maîtrise de l’état de l’art et dans une mise à jour permanente, car chaque jour apporte son lot de nouvelles menaces. La question n’est pas de réduire les exigences de sécurité, mais de trouver les mécanismes permettant d’encadrer ces compétences émergentes et de les intégrer progressivement à la commande publique et privée lorsqu’elles sont techniquement solides.

Les attaques récentes ne peuvent pas être isolées du contexte stratégique dans lequel elles apparaissent. La revendication contre la CNSS est intervenue après la réaffirmation par les États-Unis de la souveraineté marocaine sur le Sahara. Celle contre l’ANCFCC est survenue au lendemain du soutien britannique au plan marocain d’autonomie. Cette concomitance nourrit des interrogations légitimes. Elle ne constitue pas, à elle seule, une preuve de commanditaire. L’analyse sérieuse doit tenir deux exigences ensemble : ne pas ignorer la dimension géopolitique possible, mais ne pas transformer une corrélation en certitude. Le cyberespace brouille les responsabilités. Les groupes criminels, les relais d’influence, les acteurs opportunistes, les hacktivistes et parfois des puissances hostiles peuvent s’y croiser sans laisser de signature simple.

Ce que l’on peut dire avec prudence, c’est que certaines campagnes mêlent piratage informatique et communication à visée politique. Les données volées sont parfois accompagnées d’accusations, de menaces de nouvelles fuites ou de récits de moralisation. L’objectif n’est plus seulement de voler. Il peut être de décrédibiliser des décideurs, de démontrer une supposée incapacité de l’État, de créer un climat de défiance ou d’entretenir la suspicion dans l’opinion publique. L’exposition de patrimoines immobiliers ou de semblants de conflits d’intérêts fragilise la légitimité des acteurs publics, indépendamment de la véracité des documents divulgués.

C’est ici que la donnée devient une arme narrative. Un acte de vente, un bulletin de paie, une procuration, une fiche sociale ou un identifiant compromis peuvent être sortis de leur contexte, combinés à d’autres éléments, puis projetés dans l’espace public pour produire un effet politique. La véracité d’un document ne suffit pas à établir la véracité du récit qui l’accompagne. Le vrai risque réside dans cette superposition entre donnée, soupçon et viralité.

À court terme, la priorité est de réduire la surface d’attaque. Cela passe par l’audit des accès tiers et des prestataires cloud, la revue des comptes techniques, l’activation systématique de l’authentification multifacteur sur les systèmes critiques, le durcissement des interfaces exposées, le cloisonnement des bases de données sensibles et l’application rigoureuse des correctifs de sécurité. Aucun plugin, composant ou service exposé ne devrait rester en production sans suivi de maintenance documenté.

Réduire la surface d’attaque ne suffit pourtant pas si la capacité de restauration reste théorique. Une organisation doit savoir où sont ses données, comment elles sont sauvegardées, à quelle fréquence, sous quelle forme, avec quel niveau de chiffrement et dans quels délais elles peuvent être restaurées. Les exercices de restauration doivent devenir des pratiques régulières, non des opérations exceptionnelles déclenchées après la crise.

La communication de crise complète ce dispositif. Beaucoup d’organisations aggravent la situation en minimisant trop vite, en parlant trop tard ou en utilisant des formulations qui seront démenties par de nouvelles publications. Plusieurs institutions ont affirmé que seules des données publiques étaient exposées, pour être rattrapées peu après par la divulgation de documents privés. Cette incohérence de communication aggrave la perception d’impuissance autant que l’attaque elle-même. La communication de crise cyber doit être préparée à l’avance, testée et calibrée pour informer sans fragiliser.

À moyen terme, l’application effective de la loi 05-20, de la Directive nationale de sécurité des systèmes d’information et des dispositifs d’audit doit devenir plus homogène. Les prestataires externes doivent être soumis à des exigences contractuelles précises : journalisation, notification d’incident, tests réguliers, clauses de sécurité, réversibilité, chiffrement, localisation ou maîtrise des données lorsque le niveau de sensibilité l’exige. Les audits obligatoires par des prestataires qualifiés PASSI et la notification systématique des incidents au maCERT doivent devenir des réflexes structurants.

Il faut également renforcer les équipes de réponse aux incidents. Le maCERT joue un rôle national essentiel, mais les secteurs les plus exposés gagneraient à disposer de capacités spécialisées : santé, finance, foncier, éducation, collectivités, sport, transport, énergie et grands événements. La cybersécurité devient plus efficace lorsqu’elle descend au plus près des métiers. À long terme, la Stratégie nationale de cybersécurité 2030 doit être l’occasion de traiter la cyberdéfense comme une composante de la souveraineté nationale. Gouvernance, compétences, cadre juridique, coopération internationale, innovation locale et sensibilisation citoyenne ne sont pas des volets séparés. Ils forment une même architecture de confiance.

La comparaison internationale relativise le cas marocain sans l’excuser. Les grandes puissances subissent les mêmes défis. En France, la fuite de données associée à France Travail a potentiellement concerné 43 millions de personnes. La Caisse des allocations familiales a également été compromise en 2024. En 2026, l’ANSSI française traitait encore 218 incidents affectant des collectivités territoriales, soit 14% des signalements nationaux. Les États-Unis, le Royaume-Uni, l’Allemagne, l’Australie ou le Japon font face à des attaques répétées contre leurs hôpitaux, administrations, universités, entreprises stratégiques et collectivités. Le risque cyber accompagne la numérisation des services. Plus un pays se digitalise, plus il crée de valeur numérique, et plus cette valeur devient attractive pour les cybercriminels, les groupes d’influence et les acteurs hostiles.

Le Maroc paie aussi la rançon de ses avancées. Selon le rapport Allianz Global Insurance 2025, il figure parmi les 23 pays les plus exposés aux cybermenaces, avec une position singulière dans l’espace Maghreb-MENA. Cette donnée doit être lue avec prudence, selon la méthodologie du rapport, mais elle confirme une tendance : l’exposition augmente avec l’importance prise par les services numériques, les données administratives et les infrastructures connectées. La différence entre les pays tient souvent moins à l’absence d’attaques qu’à la profondeur des moyens, à la culture de notification, à la rapidité de réaction, à la qualité de la communication et à la capacité d’apprentissage après incident. Dans les systèmes les plus matures, l’attaque n’est pas toujours évitable. Ce qui est attendu, c’est la détection précoce, la limitation des dommages, la restauration rapide, la transparence maîtrisée et la correction documentée des failles.

La cybersécurité robuste exige des moyens. En moyenne mondiale, la part du budget informatique consacrée à la cybersécurité est estimée autour de 5,6%. Les experts recommandent souvent une fourchette d’au moins 5 à 10% du budget IT, selon la criticité des activités. Pour le Maroc, plusieurs ordres de grandeur permettent de mesurer l’effort à accomplir. Au niveau public central, les ministères et agences sensibles nécessiteraient chacun une enveloppe annuelle adaptée à leur criticité. Les ordres de grandeur avancés évoquent 20 à 80 millions de DH par entité sensible, soit une fourchette nationale de 2 à 4 milliards de DH par an pour l’administration centrale. Ces montants ne doivent pas être lus comme une dépense uniforme, mais comme un niveau d’effort compatible avec la criticité croissante des systèmes.

Un investissement exceptionnel de mise à niveau pourrait porter sur un SOC (Security Operations Center) national, la refonte des architectures vieillissantes, la formation de masse, l’audit de l’ensemble du parc, la modernisation des sauvegardes, le durcissement des accès et les capacités de réponse à incident. Un plan crédible pourrait requérir un investissement de 15 à 25 milliards de DH sur quatre ans, soit 1,5 à 2,5 milliards de dollars, à comparer aux 150 milliards d’euros investis en cybersécurité publique par l’Union européenne dans son plan 2021-2027.

Le coût de la non-action est supérieur. À titre de comparaison, les pertes liées à la cybercriminalité en Afrique ont bondi de 192 millions de dollars en 2024 à 484 millions en 2025, le nombre de victimes ayant plus que doublé. Ce chiffre est probablement minoré, car plusieurs entités, notamment dans les secteurs bancaire et assurantiel, victimes de ransomware, préfèrent payer pour recouvrer leurs données et taire l’incident plutôt que de compromettre leur réputation. Le coût de l’inaction dépasse toujours celui de la prévention, dans un rapport d’au moins un à cinq.

Le phishing reste l’une des techniques les plus couramment utilisées. Un message imite un fournisseur, un client, un service administratif ou un collègue, puis pousse la victime à cliquer sur un lien, ouvrir une pièce jointe ou saisir ses identifiants. Une fois l’accès obtenu, l’attaquant peut progresser dans le système, rechercher des données, créer de nouveaux accès ou préparer une exfiltration.

Les attaques par la chaîne de sous-traitance sont également redoutées. Elles consistent à atteindre une organisation via un prestataire, un outil partagé, une interface de maintenance ou un composant tiers. Les attaques persistantes, souvent qualifiées d’APT lorsqu’elles sont sophistiquées, reposent sur une infiltration discrète et longue. La présence de données datant de 2021 à 2023 dans certaines fuites de 2025 peut suggérer une infiltration patiente pendant des années avant toute divulgation, ou une réutilisation de données anciennes, sans permettre à elle seule de trancher.

Le credential stuffing exploite des identifiants déjà compromis ailleurs et réutilisés sur plusieurs services. Le sniffing permet d’intercepter discrètement du trafic réseau sur de longues périodes, collectant passivement des données sensibles sans éveiller de soupçons. Le SEO poisoning manipule le référencement d’un site légitime afin d’y injecter du contenu frauduleux ou de rediriger les visiteurs. Dans le cas de la CNDP, l’injection de caractères japonais dans des résultats référencés par Google a été associée à ce type de pratique exploitant des CMS mal maintenus.

La chaîne opératoire suit souvent le même schéma en trois temps. D’abord, une collecte silencieuse : infiltration par faille tierce, vol d’identifiants ou outil d’interception. Les données s’accumulent pendant des mois ou des années sans être détectées. Ensuite, une publication stratégique : les fichiers apparaissent sur un forum obscur du dark web, puis sont amplifiés sur Telegram pour maximiser la diffusion virale. Enfin, une narration politique : la donnée technique est habillée d’un récit de moralisation, de dénonciation ou d’intimidation. Le dommage devient alors immatériel autant que technique.

La quantification du dommage doit intégrer cette dimension. Les chiffres revendiqués évoquent environ deux millions de salariés et 500.000 entreprises pour la CNSS, près de trois millions d’adhérents pour la CNOPS, quatre téraoctets pour l’ANCFCC, 5.000 magistrats et 35.000 agents pour le ministère de la Justice, ainsi que 2,1 millions d’identifiants compromis autour de la CAN 2025. Ces chiffres doivent être vérifiés, mais leur effet politique et médiatique existe dès leur diffusion.

Si les attaques récentes ont servi d’avertissement, la Coupe du monde 2030 constituera un test grandeur nature. Le sport mondial est devenu une infrastructure numérique. Billetterie, accréditations, sécurité des stades, transport, hospitalité, diffusion, applications mobiles, accès médias, systèmes de paiement et objets connectés forment un écosystème complexe. La coorganisation par le Maroc, l’Espagne et le Portugal placera cette réalité au cœur de l’événement.

Le précédent russe de 2018, marqué par plus de 25 millions de cyberattaques contre les infrastructures liées à la Coupe du monde, rappelle que les grandes compétitions attirent les cybercriminels, les hacktivistes et parfois des acteurs plus sophistiqués. La CAN 2025 a déjà montré que les environnements sportifs pouvaient être ciblés, notamment par le vol ou l’exposition de plus de 2,1 millions d’identifiants, les attaques de disponibilité, les faux sites et les campagnes de phishing.

Les risques spécifiques à 2030 sont identifiables. La billetterie numérique sera une cible prioritaire. Pour la Coupe du monde au Qatar, la billetterie entièrement numérique a multiplié le risque de sites frauduleux, de pages de phishing et de faux comptes de revendeurs, conduisant à des vols massifs de données personnelles et bancaires. Le Maroc gagnerait à imposer un système de QR code dynamique changeant toutes les trente secondes, comme le Qatar l’avait fait.

Les infrastructures connectées des stades appellent la même vigilance. Écrans géants, climatisation, systèmes d’accès, caméras, capteurs et automates industriels peuvent ouvrir la voie aux intrusions s’ils ne sont pas cartographiés, isolés et supervisés. Les hackers pourraient saboter les écrans, couper la climatisation ou rendre des billets inutilisables. Les applications et les API, désormais au cœur des interactions numériques dans le sport, concentrent également les risques. Sans protection adaptée, elles deviennent des portes d’entrée privilégiées.

La menace hacktiviste géopolitique doit être anticipée. Kaspersky tire des leçons stratégiques de la CAN 2025 : le Maroc doit renforcer ses mesures préventives locales, adapter ses infrastructures face aux attaques DDoS et mettre en place des plans de réponse pour réagir rapidement à toute menace émergente. La surface d’attaque trilatérale ajoute une dimension inédite. Le Mondial 2030 créera un réseau d’interconnexions informatiques entre trois pays. Chaque interface bilatérale ou commune, qu’il s’agisse des accréditations, de la billetterie, de la diffusion ou des services aux supporters, deviendra un point de vulnérabilité supplémentaire.

L’intelligence artificielle démultipliera ces risques. La montée en puissance des deepfakes et des identités numériques fictives fragilise les systèmes de vérification, avec des estimations internationales évoquant une hausse de près de 200% des identifiants artificiels utilisés pour contourner les contrôles d’identité. De fausses consignes de sécurité, de fausses voix, de fausses accréditations ou des contenus manipulés pourraient circuler rapidement pendant le tournoi, générant une désinformation opérationnelle en temps réel. Le Maroc dispose du temps nécessaire pour préparer cette échéance. Mais le temps utile est celui qui commence avant l’urgence. Tests d’intrusion, exercices de crise, audits des prestataires, procédures de restauration, scénarios de désinformation, plans de communication et coopération internationale doivent être pensés dès maintenant.

Le Maroc souffre du syndrome classique de la maturité numérique sans maturité sécuritaire : des systèmes numérisés rapidement, une réglementation solide sur le papier, mais une application opérationnelle encore fragmentaire, des budgets insuffisants et une culture de la sécurité en construction. Les cyberattaques récentes ont été le révélateur brutal de cette réalité. Cette réalité ne doit pourtant pas être lue comme le démenti de la transformation numérique marocaine. Elle en est le test de maturité. Le Royaume a accéléré la digitalisation de nombreux services et construit un cadre institutionnel reconnu. La prochaine étape consiste à faire progresser la sécurité, la gouvernance des données, la résilience opérationnelle et la culture cyber au même rythme que les usages numériques.

Dans un monde où les données circulent, où les prestataires s’interconnectent, où les attaques se professionnalisent et où l’intelligence artificielle abaisse le coût de l’offensive, la cybersécurité ne peut plus être ajoutée après coup. Elle doit être pensée dès la conception des services, intégrée dans les contrats, portée par les directions générales, testée par les équipes techniques et comprise par les usagers. La confiance numérique ne se décrète pas. Elle se construit dans les architectures, les procédures, les compétences, la transparence maîtrisée et la capacité à apprendre de chaque incident. La bonne nouvelle est que le diagnostic est désormais posé et que les réformes engagées vont dans le bon sens. Ce qui est attendu, c’est qu’elles soient appliquées avec la rigueur et la rapidité qu’exige l’échéance.

• API. Interface permettant à deux applications de communiquer et d’échanger des données. Dans le sport ou les administrations, les API gèrent la billetterie, les accréditations et la diffusion en temps réel. Mal sécurisées, elles deviennent des portes d’entrée pour les attaquants.

• APT. Attaque persistante conduite par un acteur hautement qualifié, souvent étatique, qui s’infiltre discrètement dans un système et y reste tapi pendant des mois ou des années avant toute divulgation.

• CAPEX. Dépenses d’investissement destinées à acquérir ou moderniser des actifs durables, ici des infrastructures, logiciels ou équipements de cybersécurité.

• Credential stuffing. Technique consistant à tester automatiquement des couples identifiant et mot de passe volés lors d’autres fuites et revendus sur le dark web. Elle exploite la mauvaise habitude de réutiliser les mêmes mots de passe sur plusieurs services.

• Cryptomonnaie. Monnaie numérique décentralisée reposant sur la cryptographie. Utilisée par les cybercriminels pour percevoir des rançons ou régler des transactions sur le dark web, en raison de la difficulté à en tracer les flux.

• CSIRT. Équipe spécialisée chargée de détecter, analyser et répondre aux incidents de cybersécurité.

• Dark web. Partie d’Internet accessible uniquement via des logiciels spéciaux, non indexée par les moteurs de recherche classiques. Marché privilégié pour la vente de données volées et d’outils de piratage.

• Deepfake. Contenu audiovisuel falsifié par intelligence artificielle pour imiter une personne réelle. Dans un contexte d’événement mondial, les deepfakes peuvent servir à diffuser de fausses consignes de sécurité ou fabriquer des scandales en temps réel.

• DDoS. Attaque visant à saturer un serveur ou un réseau par un flux massif de requêtes simultanées, provoquant son indisponibilité.

• IoT. Ensemble des objets physiques connectés à Internet : capteurs, caméras, systèmes de climatisation, écrans. Dans les stades, chaque capteur représente une porte d’entrée potentielle.

• maCERT. Organisme national marocain de réponse aux incidents informatiques, placé sous l’autorité de la DGSSI.

• MFA. Authentification multifacteur, exigeant au moins deux facteurs distincts pour prouver son identité. Réduit considérablement le risque de compromission en cas de vol d’identifiants.

• PASSI. Prestataire d’audit de sécurité des systèmes d’information qualifié par la DGSSI, habilité à réaliser des audits sur des systèmes sensibles.

• Phishing. Hameçonnage par message frauduleux imitant une entité de confiance pour inciter la victime à divulguer ses identifiants ou ouvrir une pièce jointe malveillante. Vecteur d’entrée numéro un des cyberattaques.

• Plugin. Module logiciel complémentaire installé sur une application ou un site web. Non mis à jour, il peut contenir des vulnérabilités exploitables.

• Ransomware. Logiciel malveillant qui chiffre les données et exige le paiement d’une rançon, souvent en cryptomonnaie, pour les déchiffrer.

• SEO poisoning. Manipulation malveillante du référencement d’un site légitime pour y injecter du contenu frauduleux ou rediriger les visiteurs vers des pages piégées.

• Sniffing. Interception discrète du trafic réseau permettant de collecter passivement des identifiants et des données sensibles sur de longues périodes, sans éveiller de soupçons.

• SOC. Centre de supervision de la sécurité informatique opérant 24 h/24, surveillant en temps réel les systèmes et coordonnant la réponse aux incidents.