Connexion
Réservé aux abonnés
Saad Haitami, cofondateur de Yokamos et spécialiste en cyberdéfense, était l’invité de l’émission «L’Info en Face», animée par Rachid Hallaouy. Le débat, centré sur une question fondamentale – «Cybersécurité : une exigence de moyens ou une obligation de résultats ?» –, a permis d’échanger sur les priorités de gouvernance et les impératifs de souveraineté cyber. Lors de l’émission, les récentes attaques informatiques contre des administrations publiques marocaines ont été abordées. Peut-on dire que ces organisations étaient mal préparées ou mal équipées en matière de systèmes d’information ? Pour l’invité de Rachid Hallaouy, «la sécurité commence par la gouvernance».
Plus globalement, il distingue quatre piliers structurants pour la cybersécurité : la gouvernance, les processus, la technologie et l’humain. Le niveau de maturité d’un système se mesure, selon lui, sur une échelle de 0 à 5, l’objectif étant d’atteindre un niveau supérieur à 4,5 pour espérer une sécurité robuste. «Si vous achetez la meilleure technologie du monde et que vous ne savez pas la configurer, elle devient elle-même une vulnérabilité», prévient-il.
Autre annonce forte : la nécessité de former les décideurs. «Une formation de deux heures suffit pour les ministres, gouverneurs, PDG». Il illustre ses propos en citant l’exemple d’un téléphone de PDG pouvant compromettre toute une organisation. Or, insiste l’invité de l’émission, la faille humaine reste un élément important de la sécurité des systèmes d’information. Un simple SMS frauduleux déclenchant une fuite bancaire, ou encore l’incapacité des dirigeants à identifier un e-mail de phishing. C’est pourquoi, il insiste sur le fait que «la cybersécurité est une affaire d’organisation, de processus, de gouvernance, pas uniquement de technologie».
Par ailleurs, en matière de cyberrésilience, un changement de paradigme s’impose : les entreprises gagneraient à apprendre à gérer les conséquences, pas seulement prévenir. Ainsi, le spécialiste prône une logique de cyberrésilience fondée sur la transparence post-attaque, le partage d’expérience et la gestion active des conséquences. L’échange d’informations entre victimes semble important à ses yeux. Il souligne à cet effet que dans d’autres pays, les entreprises ont l’obligation de rendre publiques les attaques qu’elle subissent sous peine d’amendes salées.
Cependant, il rappelle qu’un cloud Souverain n’est pas uniquement une question d’infrastructures locales. Ainsi, il explique que «le traitement, le transit et le stockage des données» doivent être fait de manière souveraine. En d’autres termes, les solutions utilisées doivent également être marocaines. Or arriver à ce niveau nécessite des investissements colossaux. L’approche qu’il recommande consiste à utiliser des solutions étrangères, à condition que les profils qui les utilisent soient suffisamment formées. Ainsi, une approche hybride, combinant compétences locales et technologies internationales maîtrisées, pourrait assurer une souveraineté numérique. Côté technique, il précise que le Maroc ne dispose pas encore de data centers Tier 4, seuls compatibles avec les standards de résilience européens (26 minutes maximum de downtime par an).
Plus globalement, il distingue quatre piliers structurants pour la cybersécurité : la gouvernance, les processus, la technologie et l’humain. Le niveau de maturité d’un système se mesure, selon lui, sur une échelle de 0 à 5, l’objectif étant d’atteindre un niveau supérieur à 4,5 pour espérer une sécurité robuste. «Si vous achetez la meilleure technologie du monde et que vous ne savez pas la configurer, elle devient elle-même une vulnérabilité», prévient-il.
Cybersécurité organisationnelle : vers une séparation stricte entre IT et sécurité
Le débat a ensuite abordé la gouvernance interne des systèmes de sécurité. Sur ce volet, le spécialiste plaide pour une séparation nette entre la DSI (direction des systèmes d’information) et les départements de cybersécurité : «Le responsable de la sécurité des systèmes d’information doit être indépendant et rattaché directement à la direction générale ou au conseil d’administration». Il évoque le modèle américain, où une loi votée dès 1999 impose cette indépendance stratégique. Il précise par ailleurs, qu’aujourd’hui, des solutions qui permettent à un chef d’entreprise de suivre les indicateurs de sécurité de son entreprise en temps réel existent. Elles peuvent fournir des tableaux de bord détaillés sur les attaques subie ou encore sur l’état des mises à jour des outils et solutions utilisés.Autre annonce forte : la nécessité de former les décideurs. «Une formation de deux heures suffit pour les ministres, gouverneurs, PDG». Il illustre ses propos en citant l’exemple d’un téléphone de PDG pouvant compromettre toute une organisation. Or, insiste l’invité de l’émission, la faille humaine reste un élément important de la sécurité des systèmes d’information. Un simple SMS frauduleux déclenchant une fuite bancaire, ou encore l’incapacité des dirigeants à identifier un e-mail de phishing. C’est pourquoi, il insiste sur le fait que «la cybersécurité est une affaire d’organisation, de processus, de gouvernance, pas uniquement de technologie».
Audits, normes : structurer une politique de cybersécurité proactive
Parmi les mesures concrètes à adopter post-attaque, abordées lors de l’émission, il y a la généralisation des audits de maturité. À cet effet, le spécialiste rappelle que la certification ISO 27001 fait partie des certifications qui s’offrent aux entreprises et révèle que son coût peut aller de 70.000 à 200.000 dollars. Une des raisons pour lesquelles une telle certification reste très peu répandue au Maroc. «Cette norme ne garantit pas l’invulnérabilité, mais une gestion continue, documentée, mesurable de la sécurité», explique notre invité.Par ailleurs, en matière de cyberrésilience, un changement de paradigme s’impose : les entreprises gagneraient à apprendre à gérer les conséquences, pas seulement prévenir. Ainsi, le spécialiste prône une logique de cyberrésilience fondée sur la transparence post-attaque, le partage d’expérience et la gestion active des conséquences. L’échange d’informations entre victimes semble important à ses yeux. Il souligne à cet effet que dans d’autres pays, les entreprises ont l’obligation de rendre publiques les attaques qu’elle subissent sous peine d’amendes salées.
Événements majeurs : la CAN 2025 comme crash-test grandeur nature
À l’approche de la CAN 2025 et de la Coupe du monde 2030, M. Haitami met en garde : «Si on commence à se préparer après le 8 avril, on est déjà en retard». À la question sur le cloud souverain, il soutient la nécessité d’une telle approche avec un cloud souverain sécurisé pour héberger l’ensemble des données sensibles. À ce propos, partage-t-il, de grandes sociétés prévoient déjà d’investir des centaines de millions d’euros dans le sud du Maroc pour construire des infrastructures de classe mondiale.Cependant, il rappelle qu’un cloud Souverain n’est pas uniquement une question d’infrastructures locales. Ainsi, il explique que «le traitement, le transit et le stockage des données» doivent être fait de manière souveraine. En d’autres termes, les solutions utilisées doivent également être marocaines. Or arriver à ce niveau nécessite des investissements colossaux. L’approche qu’il recommande consiste à utiliser des solutions étrangères, à condition que les profils qui les utilisent soient suffisamment formées. Ainsi, une approche hybride, combinant compétences locales et technologies internationales maîtrisées, pourrait assurer une souveraineté numérique. Côté technique, il précise que le Maroc ne dispose pas encore de data centers Tier 4, seuls compatibles avec les standards de résilience européens (26 minutes maximum de downtime par an).
