Pourquoi la cybersécurité doit devenir une priorité stratégique au Maroc

La multiplication et la diversification des cyberattaques touchent désormais toutes les organisations, mettant leur sécurité à l'épreuve et les plaçant dans une situation de vigilance permanente. Il devient donc essentiel de faire de la cybersécurité une priorité stratégique. Cela nécessite de bien comprendre les enjeux fondamentaux de cette démarche, afin de garantir et de protéger l'intégrité de l'environnement numérique. En ce sens, quels sont les principaux défis de la cybersécurité pour le Maroc ? Ceux-ci sont à la fois complexes et variés, et requièrent une collaboration étroite entre les secteurs public et privé, ainsi qu'un engagement ferme pour renforcer les capacités nationales en matière de prévention, de détection et de gestion des cybermenaces.

De l’avis de Reda Bakkali, PDG du groupe Ineos Cyberforces, les enjeux de la cybersécurité sont considérables, mais le principal défi réside dans la notion de résilience. «Cela implique la capacité de maintenir une continuité d’activité, peu importe la taille ou l’intensité de l’attaque subie. Cet enjeu est d’autant plus important qu’il est illusoire aujourd’hui de penser que les organismes et les individus sont prémunis à 100%», explique l’expert

Et d’ajouter que cette résilience repose sur des pré-requis importants, et qui peuvent s’articuler autour de trois fondamentaux : la gouvernance qui englobe la réglementation ; la technologie pour détecter, se prémunir et réagir et enfin les ressources humaines avec entre autres la formation, la sensibilisation et la recherche.

Par ailleurs, il est également essentiel de ne pas négliger un sujet particulièrement préoccupant, qui est parfois relégué au second plan derrière les enjeux techniques et sécuritaires. Il s’agit de la sensibilisation de la société et du citoyen. «Les initiatives de sensibilisation des entreprises et de la population ont le mérite d’exister, mais elles gagneraient à être renforcées et généralisées, notamment à l’attention du public non averti, professionnel ou individuel, quelle que soit la tranche d’âge», relève le PDG du groupe Ineos Cyberforces.

À la question de savoir quels partenariats public-privé à mettre en place pour renforcer les capacités du Maroc en cybersécurité, l’expert renchérit que les synergies sont multiples et diversifiées. Elles peuvent exister entre les secteurs public et privé, entre les entreprises et le système éducatif, ou encore entre les grands acteurs technologiques et l’État. Et c’est la raison pour laquelle, M. Bakkali suggère de raisonner en termes d’écosystème : «Une des synergies fondamentales aujourd’hui repose sur la relation entre entreprises et monde de l’éducation, qui peut également être nourrie par les acteurs technologiques en termes de savoir et de savoir-faire. Les entreprises ont besoin de ressources humaines compétentes et qualifiées, que notre système éducatif doit veiller à “produire”».

C’est pour dire qu’une bonne synergie entre ces acteurs pourrait par exemple donner lieu à des centres d’excellence régionaux, ou à des clusters technologiques axés sur la recherche appliquée en cybersécurité, à l’image de ce qui se fait en Europe.

Conscient de l'importance stratégique de cette question, le Maroc met à jour sa Stratégie nationale de cybersécurité (SNC) en la projetant à l'horizon 2030, et ça a payé.

Selon le Rapport de 2024 publié récemment par l’Union internationale des télécommunications (UIT), le Maroc a franchi une nouvelle étape et figure désormais dans le groupe de tête (Tiers 1) aux côtés de 45 autres pays. Le groupe «Tiers 1» comprend les pays modèles (role modelling) qui ont démontré ces dernières années un engagement fort en matière de cybersécurité et qui ont mis en place, via des actions coordonnées, les fondamentaux nécessaires dans les domaines de la cybersécurité couverts par l’étude.

Par rapport à l'édition de 2020, le Maroc a réalisé des progrès significatifs dans les cinq domaines couverts par l'étude : juridique, technique, organisationnel, renforcement des capacités et coopération. Il est le seul pays du Maghreb à figurer dans la catégorie «Tiers 1», obtenant ainsi 20 points pour ses mesures juridiques, organisationnelles et de coopération. Il a également obtenu 19,38 points pour ses actions en matière de renforcement des capacités et 18,12 points dans l'Indice des mesures techniques.

Le Rapport de l'IUT souligne plusieurs points forts qui ont permis au Maroc d'atteindre cette performance et de consolider sa position sur la scène mondiale. Parmi ces atouts, on trouve l'élaboration d'un cadre juridique complet, constitué de divers textes législatifs et réglementaires couvrant la cybersécurité, la lutte contre la cybercriminalité, la protection des données personnelles, l'identité numérique et les services de confiance. Le lancement récent de la Stratégie nationale de cybersécurité à l'horizon 2030 constitue également un élément clé de cette avancée.

L'écosystème national de la cybersécurité se renforce grâce aux nouvelles mesures mises en place, notamment avec l'entrée en vigueur du Décret n° 2-21-406, portant application de la Loi n° 05-20 relative à la cybersécurité. Élaboré par l'Administration de la Défense nationale, ce Décret, publié dans le Bulletin officiel du 9 août 2021, vise à définir les mesures de protection des systèmes d’information des Administrations de l’État, des établissements et entreprises publics et toute autre personne morale de droit public, ainsi que ceux des infrastructures d’importance vitale et des opérateurs privés. Il détermine également les critères de qualification des prestataires de services d’audit et des prestataires de services de cybersécurité.

Trois questions au PDG du groupe Ineos Cyberforces

Le Matin : La Stratégie nationale de cybersécurité établit les grandes orientations stratégiques nationales dans ce domaine à l’horizon 2030. Quel regard portez-vous sur cette feuille de route ?

Reda Bakkali : La Stratégie nationale de cybersécurité 2030 vise à compléter et à renforcer les acquis de la Stratégie éponyme de 2012. Elle repose sur une vision holistique de la cybersécurité qui sous-tend à la fois le soutien à la transformation digitale du Royaume, tout en garantissant une protection des institutions et des citoyens. Il s’agit là d’une approche systémique dans la mesure où elle couvre à la fois les aspects de la gouvernance, de la protection, de la réaction et de la résilience, tout en consacrant l’importance du développement des capacités et de la coopération.

Ce qui est particulièrement remarquable dans cette vision, c’est qu’elle associe les notions de la fiabilité du cyberespace marocain à celle de la prospérité économique du Royaume et au bien-être du citoyen, en ce sens qu’elle dénote une profondeur stratégique notable et une capacité de recul importante sur les impacts et les enjeux de la cybersécurité, qui dépassent les aspects purement techniques, pour transcender toutes les composantes de la société (économiques, académiques, etc.).

Quelles initiatives sont mises en place pour sensibiliser les entreprises et la population aux bonnes pratiques en matière de cybersécurité ?

Les initiatives de sensibilisation des entreprises et de la population ont le mérite d’exister, mais elles gagneraient à être renforcées et généralisées, notamment à l’attention du public non averti, professionnel ou individuel, quelle que soit la tranche d’âge (les populations âgées peuvent, par exemple, constituer une tranche particulièrement vulnérable aux cyberescroqueries). C’est en cela qu’une gouvernance nationale peut avoir un impact significatif dans la mesure où elle serait la chef d’orchestre d’une approche de sensibilisation multi-dimensionnelle, qui couvre à la fois les secteurs privé, public, mais aussi les individus. Les entreprises, quant à elles, disposent d’un panel de choix diversifié en matière de sensibilisation.

Quels sont vos projets en matière de cybersécurité au Maroc ?

Nous menons des projets sur l’ensemble de la chaîne de valeur de la cybersécurité. Cela va de l’amont (conseil, conception, formation et sensibilisation) à l’aval (supervision de la posture de sécurité de nos clients) ; en passant par notre cœur de métier historique qui est l’intégration et le support de solutions de sécurité dans les environnements de nos clients. Notre valeur ajoutée réside dans la complexité technologique des sujets que nous adressons, sous-tendue par une profondeur technique indispensable et des certifications de classe mondiale pour nos experts. Nous portons, également, une attention particulière aux PME marocaines, avec une offre sur mesure, s’articulant notamment autour d’une gestion et supervision externalisée de leur infrastructure de sécurité, offrant ainsi une flexibilité dans la mobilisation des ressources internes et une optimisation des budgets. Nous menons également une action de sensibilisation et de rassemblement de notre écosystème de clients à travers l’organisation d’un symposium annuel, le «Cybersecurity Day», qui se veut être une plateforme d’échange et de partage entre décideurs, experts et chercheurs en matière de cybersécurité au Maroc. Cet événement, non ouvert au public, et qui rassemble plus de 200 personnes et plus d’une vingtaine d’experts nationaux et internationaux, a d’abord une vocation scientifique et pédagogique, qui vise à créer un espace d’échange qualitatif et homogène, axé sur le partage de l’information et le retour d’expérience.