Connexion
Réservé aux abonnés
Le Matin : Quelle est votre évaluation générale du niveau de cybersécurité au Maroc ?
Hassan Kherjouj : Le niveau de cybersécurité au Maroc est préoccupant. Le vrai problème, ce n’est pas l’absence de diplômés, c’est le manque de compétences pratiques. On trouve dans les institutions des cadre, bradés de diplômes, titulaires de master ou même de doctorats, mais complètement déconnectés du terrain. Ils ont le savoir théorique, mais pas les réflexes ni l’anticipation nécessaires pour faire face aux menaces d’aujourd’hui. Beaucoup de ces profils cessent leur formation ou leur perfectionnement une fois recrutés. Ils ne suivent plus l’actualité de la cybersécurité, ne fréquentent plus les communautés, ne participent plus à aucun échange technique. Résultat : ils ne sont plus capables de détecter ou prévenir les attaques nouvelles. Or nous sommes à une période critique, avec des enjeux cruciaux : des événements internationaux comme la CAN ou la Coupe du monde approchent, et les infrastructures marocaines ne doivent pas être vulnérables. L’attaque récente contre une institution qui détient les données personnelles de millions de Marocains montre clairement l’urgence de revoir nos méthodes et approches de formation et de recrutement dans le domaine de la cybersécurité.
Selon vous, est-ce que les institutions marocaines recrutent les profils idoines ayant les qualifications requises ?
Non, clairement pas. Ce qu’on observe aujourd’hui, c’est que les institutions recrutent des profils sur la base de leurs diplômes, sans s’assurer qu’ils ont réellement les compétences techniques pour protéger des systèmes sensibles. On embauche quelqu’un parce qu’il a un master ou un diplôme en cybersécurité, sans vérifier s’il est capable de suivre les évolutions, de prévenir un risque, alors qu’il est censé penser comme un hacker pour anticiper les attaques. On parle ici de postes cruciaux, où la moindre erreur peut mettre en danger les données personnelles de millions de citoyens. Or beaucoup de ceux qui sont en place n’ont ni la vigilance, ni les réflexes, ni la mise à jour constante que ce métier exige. Et c’est comme ça qu’on se retrouve avec des institutions vulnérables face à des attaques basiques.
Vous êtes en train de dire que les diplômes ne suffisent plus pour être opérationnel dans la cybersécurité aujourd’hui ?
Absolument ! Le diplôme, c’est un point de départ, rien de plus. La vraie compétence en cybersécurité vient du terrain, de la veille permanente, de l’apprentissage continu. Tu peux avoir un doctorat, mais si tu n’es pas connecté en permanence à l’actualité du dark web, aux nouvelles failles, aux techniques de phishing ou de social engineering, tu ne vaux pas mieux qu’un amateur face à une vraie attaque. Aujourd’hui, des jeunes sans diplômes formels, mais passionnés, qui passent leurs nuits à tester, apprendre, expérimenter, peuvent mettre à genoux tout un système. Et l’inverse est aussi vrai : quelqu’un de diplômé, mais déconnecté, devient une faille en soi. En cybersécurité, ce ne sont pas les titres qui protègent un réseau, ce sont les compétences concrètes.
Mais il faudrait quand même revoir les formations et les méthodes de recrutement dans ce domaine ?
C’est indispensable. Il faut repenser en profondeur aussi bien les formations que les critères de recrutement dans le domaine de la cybersécurité. Aujourd’hui, on forme encore des étudiants à des contenus dépassés, avec une approche trop théorique, trop figée. Et quand ils sortent, on les recrute sans vérifier s’ils sont réellement capables de faire face à une attaque, d’analyser une faille ou de réagir en temps réel. Ce qu’il nous faut, ce sont des profils curieux, autonomes, connectés en permanence aux évolutions du terrain, pas juste des titulaires de diplômes. Un bon spécialiste en cybersécurité, c’est quelqu’un qui sait comment pensent les hackers, qui comprend ce qui se passe dans le Dark Web, et qui est capable d’agir rapidement. Il faut aussi arrêter de croire qu’un employé formé une fois est protégé pour dix ans. Non ! la formation continue doit devenir la norme, et il faut recruter des gens qui aiment apprendre, qui continuent à se former même en dehors des horaires de travail. C’est une question de sécurité nationale.
Que pensez-vous de la récente fuite massive de données de citoyens marocains ?
C’est un incident extrêmement grave. On parle ici de la compromission de données personnelles de citoyens marocains – ce n’est pas un petit piratage. Ce qui rend cette affaire encore plus choquante, c’est que l’attaque a visé une institution censée protéger précisément ce type d’informations. C’est une faille qui soulève des questions profondes sur la manière dont nos données sont gérées, stockées, et sécurisées. Et ce n’est pas seulement un problème pour les citoyens marocains. Imaginez la gravité de la chose si des délégations étrangères, des diplomates ou des investisseurs voient leurs données également exposées au Maroc.
Avez-vous une idée sur la technique utilisée pour réaliser cette attaque ? Injection SQL, backdoor, phishing ou autre ?
Je ne peux pas affirmer avec certitude quelle technique a été utilisée, mais plusieurs scénarios sont plausibles. L’un des plus probables, c’est l’injection SQL – une méthode très courante pour infiltrer une base de données en y injectant un code malveillant. Il est aussi possible qu’un backdoor ait été installé dans le système, permettant un accès discret et continu. Mais il y a aussi la possibilité d’une attaque via l’ingénierie sociale, ce qui serait encore plus inquiétant. Si quelqu’un a réussi à tromper un responsable en se faisant passer pour une entreprise de confiance, par exemple, ça voudrait dire que la faille n’était pas seulement technique, mais humaine. L’ingénierie sociale, c’est ma spécialité, et je peux vous dire que c’est souvent par là que les attaques passent aujourd’hui. On envoie un mail bien formulé, on imite une entreprise ou un partenaire, on pousse la cible à cliquer, à donner un mot de passe, et le tour est joué ! Ce type d’attaque repose sur la naïveté ou le manque de vigilance de certains employés, pas sur des failles techniques. Et c’est très difficile à contrer, car ça demande une formation constante et une grande discipline individuelle.
La publication de ces données sur Telegram pose-t-elle un problème particulier par rapport à d’autres plateformes ? Pourquoi Telegram selon vous ?
Oui, Telegram est particulièrement problématique dans ce genre de cas. Contrairement à WhatsApp, par exemple, Telegram ne permet pas de signaler facilement les comptes ni de supprimer rapidement les contenus diffusés illégalement. L’anonymat y est aussi renforcé : les numéros de téléphone sont masqués, les messages peuvent être automatisés, les canaux sont difficiles à tracer. C’est la raison pour laquelle d’ailleurs, les auteurs de l’attaque ont choisi Telegram. Ils savent que c’est une plateforme opaque, difficile à contrôler, et qu’ils peuvent y diffuser massivement sans être inquiétés rapidement. C’est un vrai défi pour les autorités.
Quel est votre avis sur le fait que certaines personnes partagent ou diffusent ces données personnelles ? Est-ce légal ?
Ce n’est pas légal, et c’est même extrêmement grave. Partager des données personnelles issues d’une fuite, c’est participer à une infraction. Même si ce n’est pas vous qui avez piraté les données. Mais le simple fait de les diffuser ou de les rendre publiques fait de vous un acteur dans la chaîne de l’illégalité.
D’un point de vue juridique, que risquent les personnes qui diffusent ce type d’informations sensibles ?
Dès qu’il s’agit de données personnelles, il y a des lois très claires qui s’appliquent, notamment au Maroc : la loi sur la protection des données à caractère personnel. Une personne qui diffuse ces informations s’expose à des poursuites judiciaires. Elle peut être poursuivie au civil pour atteinte à la vie privée, et même au pénal si l’intention de nuire est prouvée. Le problème, c’est que beaucoup de gens ne réalisent pas qu’en relayant ces fuites, ils deviennent eux-mêmes distributeurs d’un contenu illégal, et donc responsables. Ce n’est pas parce que l’information circule sur Telegram que tu peux te permettre de la reposter.
Un Marocain peut-il engager une procédure à l’étranger, par exemple en Allemagne, contre la personne ayant diffusé ses données ?
Oui, tout à fait. Si la personne à l’origine de la fuite est identifiée et qu’elle se trouve à l’étranger, par exemple en Allemagne, un citoyen marocain peut porter plainte là-bas. Il suffit de faire appel à un avocat local, de fournir les preuves que ses données ont été compromises, et d’engager une action en justice. C’est une démarche tout à fait légitime, parce que les données personnelles relèvent du droit fondamental à la vie privée, et ce droit est reconnu au niveau international. D’ailleurs, ce genre de plainte a déjà abouti dans d’autres pays, comme aux États-Unis, où Facebook a dû verser des millions de dollars à des victimes de fuite de données. Le Marocain qui a été lésé a le droit de défendre sa dignité, où que soit l’agresseur.
Quel est votre avis sur l’action de jeunes hackers marocains qui ont répliqué à des attaques venant d’Algérie ?
Je le dis clairement : bravo à ces jeunes. Certes ce qu’ils ont fait ne relève pas de leur mission, et ce n’est pas leur métier, mais ils ont réagi avec un vrai sens de patriotisme. Ce qu’ils ont fait est impressionnant, et je leur tire mon chapeau. Ces jeunes ont prouvé qu’il existe des compétences réelles au Maroc, des talents capables de détecter, d’analyser et de contrer des attaques complexes. Ce n’est pas normal qu’ils soient cachés dans les coins sombres d’internet, à bosser dans l’ombre, parfois même avec la peur d’être poursuivis alors qu’ils rendent service au pays.
Est-ce que ce type de riposte peut être considéré comme légitime ou utile pour la défense nationale numérique ?
Oui, bien sûr. À défaut d’une structure nationale forte et réactive, ce genre d’initiatives peut aider à combler le vide. Ces jeunes sont en quelque sorte des sentinelles informelles, et ils montrent qu’on peut avoir une vraie force de dissuasion numérique si on sait mobiliser les bonnes personnes. Évidemment, l’idéal serait de les encadrer, les former, les intégrer dans un cadre légal, mais leur action prouve déjà qu’il y a une volonté de défendre le Maroc, de manière spontanée et efficace. On n’est plus dans un monde où seule l’armée ou les services de l’État assurent la défense : la guerre est aussi numérique, et nos meilleurs soldats sont parfois des jeunes derrière un écran, chez eux, avec une connexion internet et beaucoup de savoir-faire.
Aux États-Unis, par exemple, il existe des plateformes de type «bug bounty» où les plus grands hackers se retrouvent pour aider les géants comme Google ou Facebook à corriger des failles. Ils sont rémunérés, reconnus. Nous, au Maroc, on a aussi des jeunes très talentueux dans ce domaine. Pourquoi ne pas les intégrer dans des structures, les encadrer, leur offrir un cadre légal ?
Hassan Kherjouj : Le niveau de cybersécurité au Maroc est préoccupant. Le vrai problème, ce n’est pas l’absence de diplômés, c’est le manque de compétences pratiques. On trouve dans les institutions des cadre, bradés de diplômes, titulaires de master ou même de doctorats, mais complètement déconnectés du terrain. Ils ont le savoir théorique, mais pas les réflexes ni l’anticipation nécessaires pour faire face aux menaces d’aujourd’hui. Beaucoup de ces profils cessent leur formation ou leur perfectionnement une fois recrutés. Ils ne suivent plus l’actualité de la cybersécurité, ne fréquentent plus les communautés, ne participent plus à aucun échange technique. Résultat : ils ne sont plus capables de détecter ou prévenir les attaques nouvelles. Or nous sommes à une période critique, avec des enjeux cruciaux : des événements internationaux comme la CAN ou la Coupe du monde approchent, et les infrastructures marocaines ne doivent pas être vulnérables. L’attaque récente contre une institution qui détient les données personnelles de millions de Marocains montre clairement l’urgence de revoir nos méthodes et approches de formation et de recrutement dans le domaine de la cybersécurité.
Selon vous, est-ce que les institutions marocaines recrutent les profils idoines ayant les qualifications requises ?
Non, clairement pas. Ce qu’on observe aujourd’hui, c’est que les institutions recrutent des profils sur la base de leurs diplômes, sans s’assurer qu’ils ont réellement les compétences techniques pour protéger des systèmes sensibles. On embauche quelqu’un parce qu’il a un master ou un diplôme en cybersécurité, sans vérifier s’il est capable de suivre les évolutions, de prévenir un risque, alors qu’il est censé penser comme un hacker pour anticiper les attaques. On parle ici de postes cruciaux, où la moindre erreur peut mettre en danger les données personnelles de millions de citoyens. Or beaucoup de ceux qui sont en place n’ont ni la vigilance, ni les réflexes, ni la mise à jour constante que ce métier exige. Et c’est comme ça qu’on se retrouve avec des institutions vulnérables face à des attaques basiques.
Vous êtes en train de dire que les diplômes ne suffisent plus pour être opérationnel dans la cybersécurité aujourd’hui ?
Absolument ! Le diplôme, c’est un point de départ, rien de plus. La vraie compétence en cybersécurité vient du terrain, de la veille permanente, de l’apprentissage continu. Tu peux avoir un doctorat, mais si tu n’es pas connecté en permanence à l’actualité du dark web, aux nouvelles failles, aux techniques de phishing ou de social engineering, tu ne vaux pas mieux qu’un amateur face à une vraie attaque. Aujourd’hui, des jeunes sans diplômes formels, mais passionnés, qui passent leurs nuits à tester, apprendre, expérimenter, peuvent mettre à genoux tout un système. Et l’inverse est aussi vrai : quelqu’un de diplômé, mais déconnecté, devient une faille en soi. En cybersécurité, ce ne sont pas les titres qui protègent un réseau, ce sont les compétences concrètes.
Mais il faudrait quand même revoir les formations et les méthodes de recrutement dans ce domaine ?
C’est indispensable. Il faut repenser en profondeur aussi bien les formations que les critères de recrutement dans le domaine de la cybersécurité. Aujourd’hui, on forme encore des étudiants à des contenus dépassés, avec une approche trop théorique, trop figée. Et quand ils sortent, on les recrute sans vérifier s’ils sont réellement capables de faire face à une attaque, d’analyser une faille ou de réagir en temps réel. Ce qu’il nous faut, ce sont des profils curieux, autonomes, connectés en permanence aux évolutions du terrain, pas juste des titulaires de diplômes. Un bon spécialiste en cybersécurité, c’est quelqu’un qui sait comment pensent les hackers, qui comprend ce qui se passe dans le Dark Web, et qui est capable d’agir rapidement. Il faut aussi arrêter de croire qu’un employé formé une fois est protégé pour dix ans. Non ! la formation continue doit devenir la norme, et il faut recruter des gens qui aiment apprendre, qui continuent à se former même en dehors des horaires de travail. C’est une question de sécurité nationale.
Que pensez-vous de la récente fuite massive de données de citoyens marocains ?
C’est un incident extrêmement grave. On parle ici de la compromission de données personnelles de citoyens marocains – ce n’est pas un petit piratage. Ce qui rend cette affaire encore plus choquante, c’est que l’attaque a visé une institution censée protéger précisément ce type d’informations. C’est une faille qui soulève des questions profondes sur la manière dont nos données sont gérées, stockées, et sécurisées. Et ce n’est pas seulement un problème pour les citoyens marocains. Imaginez la gravité de la chose si des délégations étrangères, des diplomates ou des investisseurs voient leurs données également exposées au Maroc.
Avez-vous une idée sur la technique utilisée pour réaliser cette attaque ? Injection SQL, backdoor, phishing ou autre ?
Je ne peux pas affirmer avec certitude quelle technique a été utilisée, mais plusieurs scénarios sont plausibles. L’un des plus probables, c’est l’injection SQL – une méthode très courante pour infiltrer une base de données en y injectant un code malveillant. Il est aussi possible qu’un backdoor ait été installé dans le système, permettant un accès discret et continu. Mais il y a aussi la possibilité d’une attaque via l’ingénierie sociale, ce qui serait encore plus inquiétant. Si quelqu’un a réussi à tromper un responsable en se faisant passer pour une entreprise de confiance, par exemple, ça voudrait dire que la faille n’était pas seulement technique, mais humaine. L’ingénierie sociale, c’est ma spécialité, et je peux vous dire que c’est souvent par là que les attaques passent aujourd’hui. On envoie un mail bien formulé, on imite une entreprise ou un partenaire, on pousse la cible à cliquer, à donner un mot de passe, et le tour est joué ! Ce type d’attaque repose sur la naïveté ou le manque de vigilance de certains employés, pas sur des failles techniques. Et c’est très difficile à contrer, car ça demande une formation constante et une grande discipline individuelle.
La publication de ces données sur Telegram pose-t-elle un problème particulier par rapport à d’autres plateformes ? Pourquoi Telegram selon vous ?
Oui, Telegram est particulièrement problématique dans ce genre de cas. Contrairement à WhatsApp, par exemple, Telegram ne permet pas de signaler facilement les comptes ni de supprimer rapidement les contenus diffusés illégalement. L’anonymat y est aussi renforcé : les numéros de téléphone sont masqués, les messages peuvent être automatisés, les canaux sont difficiles à tracer. C’est la raison pour laquelle d’ailleurs, les auteurs de l’attaque ont choisi Telegram. Ils savent que c’est une plateforme opaque, difficile à contrôler, et qu’ils peuvent y diffuser massivement sans être inquiétés rapidement. C’est un vrai défi pour les autorités.
Quel est votre avis sur le fait que certaines personnes partagent ou diffusent ces données personnelles ? Est-ce légal ?
Ce n’est pas légal, et c’est même extrêmement grave. Partager des données personnelles issues d’une fuite, c’est participer à une infraction. Même si ce n’est pas vous qui avez piraté les données. Mais le simple fait de les diffuser ou de les rendre publiques fait de vous un acteur dans la chaîne de l’illégalité.
D’un point de vue juridique, que risquent les personnes qui diffusent ce type d’informations sensibles ?
Dès qu’il s’agit de données personnelles, il y a des lois très claires qui s’appliquent, notamment au Maroc : la loi sur la protection des données à caractère personnel. Une personne qui diffuse ces informations s’expose à des poursuites judiciaires. Elle peut être poursuivie au civil pour atteinte à la vie privée, et même au pénal si l’intention de nuire est prouvée. Le problème, c’est que beaucoup de gens ne réalisent pas qu’en relayant ces fuites, ils deviennent eux-mêmes distributeurs d’un contenu illégal, et donc responsables. Ce n’est pas parce que l’information circule sur Telegram que tu peux te permettre de la reposter.
Un Marocain peut-il engager une procédure à l’étranger, par exemple en Allemagne, contre la personne ayant diffusé ses données ?
Oui, tout à fait. Si la personne à l’origine de la fuite est identifiée et qu’elle se trouve à l’étranger, par exemple en Allemagne, un citoyen marocain peut porter plainte là-bas. Il suffit de faire appel à un avocat local, de fournir les preuves que ses données ont été compromises, et d’engager une action en justice. C’est une démarche tout à fait légitime, parce que les données personnelles relèvent du droit fondamental à la vie privée, et ce droit est reconnu au niveau international. D’ailleurs, ce genre de plainte a déjà abouti dans d’autres pays, comme aux États-Unis, où Facebook a dû verser des millions de dollars à des victimes de fuite de données. Le Marocain qui a été lésé a le droit de défendre sa dignité, où que soit l’agresseur.
Quel est votre avis sur l’action de jeunes hackers marocains qui ont répliqué à des attaques venant d’Algérie ?
Je le dis clairement : bravo à ces jeunes. Certes ce qu’ils ont fait ne relève pas de leur mission, et ce n’est pas leur métier, mais ils ont réagi avec un vrai sens de patriotisme. Ce qu’ils ont fait est impressionnant, et je leur tire mon chapeau. Ces jeunes ont prouvé qu’il existe des compétences réelles au Maroc, des talents capables de détecter, d’analyser et de contrer des attaques complexes. Ce n’est pas normal qu’ils soient cachés dans les coins sombres d’internet, à bosser dans l’ombre, parfois même avec la peur d’être poursuivis alors qu’ils rendent service au pays.
Est-ce que ce type de riposte peut être considéré comme légitime ou utile pour la défense nationale numérique ?
Oui, bien sûr. À défaut d’une structure nationale forte et réactive, ce genre d’initiatives peut aider à combler le vide. Ces jeunes sont en quelque sorte des sentinelles informelles, et ils montrent qu’on peut avoir une vraie force de dissuasion numérique si on sait mobiliser les bonnes personnes. Évidemment, l’idéal serait de les encadrer, les former, les intégrer dans un cadre légal, mais leur action prouve déjà qu’il y a une volonté de défendre le Maroc, de manière spontanée et efficace. On n’est plus dans un monde où seule l’armée ou les services de l’État assurent la défense : la guerre est aussi numérique, et nos meilleurs soldats sont parfois des jeunes derrière un écran, chez eux, avec une connexion internet et beaucoup de savoir-faire.
Aux États-Unis, par exemple, il existe des plateformes de type «bug bounty» où les plus grands hackers se retrouvent pour aider les géants comme Google ou Facebook à corriger des failles. Ils sont rémunérés, reconnus. Nous, au Maroc, on a aussi des jeunes très talentueux dans ce domaine. Pourquoi ne pas les intégrer dans des structures, les encadrer, leur offrir un cadre légal ?
