Les entreprises marocaines poursuivent leur montée en puissance en matière de cybersécurité, selon les résultats de la troisième édition de l'AUSIMètre, le baromètre annuel réalisé par PwC au Maroc et l'Association des Utilisateurs des Systèmes d'Information au Maroc (AUSIM). Si cette évolution confirme une implication croissante des dirigeants et une meilleure structuration des investissements, le rapport met également en lumière des vulnérabilités persistantes face aux grandes ruptures technologiques de 2026.
Présentée le 16 juillet à Rabat sous le thème « De la défense à l'anticipation : la cybersécurité marocaine entre dans une nouvelle ère », cette troisième édition s'appuie sur une enquête menée auprès de 62 grandes entreprises et PME. Les résultats ont été analysés et consolidés dans un Livre blanc qui décrypte les évolutions du paysage cyber national et formule des recommandations pour accompagner les organisations dans le renforcement de leur résilience numérique.
L'étude met également en évidence une implication accrue des directions générales dans les décisions liées à la cybersécurité. Celle-ci atteint désormais 74 %, contre 55 % un an auparavant. Dans le même temps, 56 % des entreprises consacrent plus de 5 % de leur budget informatique à la cybersécurité, rejoignant ainsi les standards internationaux.
L'AUSIMètre 2026 confirme ainsi une tendance de fond : la cybersécurité s'impose désormais comme un sujet stratégique au sein des comités de direction. Cette implication accrue des instances dirigeantes s'accompagne d'une meilleure structuration des investissements. Le cadre réglementaire national, porté notamment par la loi 05-20 et les directives de la DGSSI, joue également un rôle structurant. La réglementation n'est plus perçue comme une simple contrainte, mais comme un levier stratégique permettant de renforcer la gouvernance avant même d'engager de nouveaux investissements.
Trois angles morts critiques sont ainsi identifiés. Le premier concerne l'intelligence artificielle : si les entreprises en reconnaissent largement le potentiel, sa gouvernance demeure encore insuffisamment structurée, favorisant notamment le développement du phénomène de « Shadow AI ».
Le deuxième porte sur la dépendance au cloud, alors que de nombreuses organisations ne disposent pas encore d'un plan de réversibilité formalisé. Le troisième concerne la menace quantique, dont les conséquences restent encore insuffisamment anticipées. À ces enjeux s'ajoute une pénurie croissante de talents, qui continue de freiner les capacités d'innovation et de résilience cyber des organisations marocaines.
De son côté, Jamal Basrire, Associé PwC, Leader Cloud Transformation & Cyber France & Maghreb, souligne les nouveaux défis auxquels sont confrontées les organisations : « Nous sommes entrés au printemps 2026 dans une nouvelle ère où l'IA malveillante industrialise et accélère les capacités offensives à une vitesse inédite. Dans ce contexte, le Maroc fait face à une fracture de maturité : 37 % d'élite cyber sur-investissent, tandis que 30 % restent en zone fragile. L'externalisation de certaines activités, notamment les SOC et les tests d'intrusion, devient indispensable, en particulier pour les PME qui représentent 66 % de notre échantillon. Toutefois, cette externalisation doit impérativement s'accompagner du maintien d'un pilotage stratégique interne. On externalise l'exécution, jamais la responsabilité ».
Au-delà du diagnostic qu'il dresse, l'AUSIMètre 2026 se veut un véritable outil d'aide à la décision pour les dirigeants. En mettant en lumière les progrès réalisés, les vulnérabilités émergentes et les priorités d'action, cette troisième édition traduit la volonté commune de PwC au Maroc et de l'AUSIM d'accompagner les organisations dans le renforcement durable de leur résilience numérique et de contribuer à l'émergence d'un écosystème digital plus sûr, plus souverain et plus compétitif.
Présentée le 16 juillet à Rabat sous le thème « De la défense à l'anticipation : la cybersécurité marocaine entre dans une nouvelle ère », cette troisième édition s'appuie sur une enquête menée auprès de 62 grandes entreprises et PME. Les résultats ont été analysés et consolidés dans un Livre blanc qui décrypte les évolutions du paysage cyber national et formule des recommandations pour accompagner les organisations dans le renforcement de leur résilience numérique.
Une maturité cyber en progression
Premier enseignement de cette édition, l'indice global de maturité cyber atteint 56%, traduisant une évolution du niveau « En développement » vers le niveau « Défini ».L'étude met également en évidence une implication accrue des directions générales dans les décisions liées à la cybersécurité. Celle-ci atteint désormais 74 %, contre 55 % un an auparavant. Dans le même temps, 56 % des entreprises consacrent plus de 5 % de leur budget informatique à la cybersécurité, rejoignant ainsi les standards internationaux.
L'AUSIMètre 2026 confirme ainsi une tendance de fond : la cybersécurité s'impose désormais comme un sujet stratégique au sein des comités de direction. Cette implication accrue des instances dirigeantes s'accompagne d'une meilleure structuration des investissements. Le cadre réglementaire national, porté notamment par la loi 05-20 et les directives de la DGSSI, joue également un rôle structurant. La réglementation n'est plus perçue comme une simple contrainte, mais comme un levier stratégique permettant de renforcer la gouvernance avant même d'engager de nouveaux investissements.
Trois angles morts critiques
Malgré ces avancées, l'étude met en lumière plusieurs fractures systémiques qualifiées de « risques asymptomatiques », c'est-à-dire des menaces peu visibles à court terme mais susceptibles de produire des effets durables et irréversibles.Trois angles morts critiques sont ainsi identifiés. Le premier concerne l'intelligence artificielle : si les entreprises en reconnaissent largement le potentiel, sa gouvernance demeure encore insuffisamment structurée, favorisant notamment le développement du phénomène de « Shadow AI ».
Le deuxième porte sur la dépendance au cloud, alors que de nombreuses organisations ne disposent pas encore d'un plan de réversibilité formalisé. Le troisième concerne la menace quantique, dont les conséquences restent encore insuffisamment anticipées. À ces enjeux s'ajoute une pénurie croissante de talents, qui continue de freiner les capacités d'innovation et de résilience cyber des organisations marocaines.
Une nouvelle ère pour la cybersécurité
Pour Mohamed Saad, président de l'AUSIM, les résultats de cette troisième édition traduisent une évolution de la gouvernance cyber des organisations marocaines, tout en mettant en évidence les défis qui demeurent. « Le cyberespace n'est plus un domaine auxiliaire de nos économies ; il en est le tissu connectif absolu. Face à la reconfiguration ultra-rapide des menaces par l'IA agentique et les tensions géopolitiques mondiales, la résilience n'est plus une option technique ; c'est un impératif stratégique non négociable pour la pérennité de notre tissu économique. L'AUSIMètre 2026 prouve que nos entreprises structurent enfin leur gouvernance, mais des défis de souveraineté et de talents persistent », souligne-t-il.De son côté, Jamal Basrire, Associé PwC, Leader Cloud Transformation & Cyber France & Maghreb, souligne les nouveaux défis auxquels sont confrontées les organisations : « Nous sommes entrés au printemps 2026 dans une nouvelle ère où l'IA malveillante industrialise et accélère les capacités offensives à une vitesse inédite. Dans ce contexte, le Maroc fait face à une fracture de maturité : 37 % d'élite cyber sur-investissent, tandis que 30 % restent en zone fragile. L'externalisation de certaines activités, notamment les SOC et les tests d'intrusion, devient indispensable, en particulier pour les PME qui représentent 66 % de notre échantillon. Toutefois, cette externalisation doit impérativement s'accompagner du maintien d'un pilotage stratégique interne. On externalise l'exécution, jamais la responsabilité ».
Trois priorités pour les comités exécutifs
Afin de transformer ces constats en actions concrètes, le rapport recommande trois priorités aux comités exécutifs : développer des programmes de reconversion et de diversification des talents, notamment en ouvrant les parcours cyber à des profils non IT accompagnés par l'IA ; intégrer dès aujourd'hui des exigences de crypto-agilité et de résistance post-quantique dans les nouveaux appels d'offres technologiques ; et renforcer la gouvernance de l'intelligence artificielle et du cloud en cartographiant les usages, en formalisant les politiques associées et en testant régulièrement les plans de sortie cloud.Au-delà du diagnostic qu'il dresse, l'AUSIMètre 2026 se veut un véritable outil d'aide à la décision pour les dirigeants. En mettant en lumière les progrès réalisés, les vulnérabilités émergentes et les priorités d'action, cette troisième édition traduit la volonté commune de PwC au Maroc et de l'AUSIM d'accompagner les organisations dans le renforcement durable de leur résilience numérique et de contribuer à l'émergence d'un écosystème digital plus sûr, plus souverain et plus compétitif.
