×Membres de L'Economiste Qui sommes-nousL'Editorialjustice régions Dossiers Société Culture Brèves International Brèves internationales Courrier des Lecteurs LE CERCLE DES EXPERTS Documents Lois à polémiques Docs de L'Economiste prix-de-la-recherche Prix de L'Economiste Perspective 7,7 Milliards by SparkNews Earth Beats Solutions & Co Impact Journalism Day cop22Spécial Cop22 Communication Financière

Le Cercle des Experts

Cybersécurité: Enjeux et réalisations de la stratégie nationale

Par Taïeb DEBBAGH | Edition N°:5878 Le 04/11/2020 | Partager

Taieb Debbagh est Docteur en Systèmes d’information de l’Université Paris-Dauphine. Il a occupé le poste de Secrétaire Général du Département en charge des Technologies de l’Information. Ancien diplomate auprès de l’Union Internationale des Télécommunications à Genève, il est expert en Transformation Digitale et Cybersécurité  (Ph. TD)

La pandémie de Covid-19 a favorisé le télétravail, et par la même occasion les cyberattaques ont connu une très forte hausse (voir les chiffres ci-joint, et en particulier l’augmentation de 600% des attaques depuis le confinement comparativement à la même période de 2019). Le Maroc a toujours été précurseur en matière de Cybersécurité depuis 2007, et pourtant le dernier indice mondial de la cybersécurité publié en 2018, par l’Union Internationale des Télécommunications (UIT), le place à la 93e position parmi 174 pays.

- Qu’est-ce que la cybersécurité?
Il s’agit d’améliorer la sécurité d’un système d’information, par la mise en place des contrôles axés sur les risques pour se protéger contre les menaces connues et émergentes et de se conformer aux règles et aux normes en la matière. Elle favorise la vigilance, par la détection des infractions et des anomalies grâce à une meilleure prise de conscience de la situation à l’échelle de l’organisation. Et, elle permet la résilience, par le développement de la capacité de reprendre les activités normales et de réparer les dommages subis.

- Stratégie nationale
En 2007, le Maroc a présidé la 3e commission du «HighLevel Expert Group» qui a permis de faire ressortir les cinq composantes de l’agenda de la cybersécurité mondiale (UIT), à savoir le légal, les mesures techniques, les structures organisationnelles, le renforcement des capacités et la coopération.
La même année, le département en charge des technologies de l’information avait réalisé la première stratégie relative à la cybersécurité, dont la mise en œuvre avait été différée en vue de son intégration en tant que programme de «MarocNumeric 2013».
Avec le transfert de la responsabilité du secteur au Ministère de la Défense, la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI) a réalisé en décembre 2012, une nouvelle stratégie, qui se caractérise par les quatre axes ci-dessous.
1- Évaluation des risques pesant sur les systèmes d'information des administrations, des organismes publics et des infrastructures d'importance vitale, en élaborant des plans d’évaluation des risques et des menaces et en mettant en place des outils d’aide à la décision ;
2- Protection, défense et sécurisation des systèmes d’information des administrations, des organismes publics et des infrastructures d’importance vitale, en mettant en place des référentiels et des normes nationaux. Il s’agit également de renforcer les structures de veille, de détection et de réponse aux cyberattaques;
3- Renforcement du cadre juridique pour instaurer la confiance numérique et organisation de formations techniques et juridiques relatives à la cybersécurité. Cet axe intègre également la sensibilisation aux cybermenaces et le soutien à la R&D;
4- Promotion de la coopération nationale et internationale, en identifiant les thématiques et les mécanismes de coopération, et en mettant en place des partenariats.

- Les réalisations de la DGSSI
Pour répondre aux besoins d’échange et de coopération en matière de cybersécurité, la DGSSI a signé des accords avec l’OTAN, ANSSI-France, Cybersecurity Malaysia, l’Espagne et l’Inde. Elle a également signé la convention de Bucarest, ainsi que la convention arabe pour la lutte contre les crimes liés aux technologies de l’information et de communications.
Par ailleurs le «ma-CERT» (Moroccan – Computer Emergency Response Team), s’est affilié au FIRST (organisation regroupant les CERTs à l’échelle mondiale), ainsi qu’à OIC-CERT qui regroupe ceux des pays islamiques. Le ma-CERT a participé régulièrement à des exercices de simulations de cyberattaques organisés par OIC-CERT et APCERT (Asie Pacifique)
La DGSSI organise chaque année des séminaires thématiques en relations avec la cybersécurité qui regroupent des experts marocains et étrangers, ainsi que des sessions de sensibilisations sur le sujet. Elle a également à son actif l’édition de plusieurs guides relatifs à l'audit de la sécurité des systèmes d'information, à la sécurité relative à l'externalisation des systèmes d’information, à la gestion des risques de la sécurité des systèmes d'information, à la sécurité des systèmes d'information industriels, à l'élaboration d'un plan de continuité et de reprise d'activités, aux modalités régissant la classification des systèmes d'information etc …Le Maroc s’est doté en quelques années d’un arsenal législatif et réglementaire destiné à encadrer les activités informatiques et à assurer la sécurité des citoyens et des infrastructures critiques(loi 09-08 et DNSSI); et en juillet 2020 la loi 05-20 dédiée à la Cybersécurité a été votée par le parlement. (source www.dgssi.gov.ma)

indice-mondial-cybersecurite-2-078.jpg

- La Loi 05-20
Celle-ci stipule particulièrement, que chaque «Entité» (organisation) devra:
-Elaborer et mettre en œuvre une politique de sécurité de ses systèmes d’information;
- Identifier les risques qui menacent la sécurité de leurs SI et prendre des mesures techniques et organisationnelles nécessaires pour les gérer;
- Désigner un RSSI qui veille à l’application de la politique de sécurité des systèmes d’information;
- Le RSSI est l’interlocuteur de l’autorité nationale de la cybersécurité et doit jouir de l’indépendance requise dans l’exercice de sa mission;
- Doit, dès qu’elle prend connaissance d’un incident affectant la sécurité ou le fonctionnement de ses SI, le déclarer à l’autorité nationale ;
- Les données sensibles doivent être exclusivement hébergées sur le territoire national;
- Toute externalisation d’un système d’information sensible doit faire l’objet d’un contrat de droit marocain…
Aujourd'hui, malgré les efforts réalisés par le Maroc, l’indice mondial de la Cybersécurité (Global Cybersecurity Index) établi par l’UIT en 2018, le classe à la 93e position au niveau mondial, 16e en Afrique et 10e parmi les pays arabes. L’encadré (sur l'indice mondial) montre clairement où se situent les points d’amélioration qui concerneraient les mesures techniques et le renforcement des capacités. Etant donné les réalisations des deux dernières années, ce classement sera certainement amélioré pour le nouvel indice annoncé pour le début de l’année 2021, si toutes les informations nécessaires au calcul de ce dernier ont été fournies dans les délais.

                                                                                       

Principales étapes de la Cybersécurité au Maroc

cybersecurite-078.jpg

• 2003 Loi 07-03 complétant le code pénal pour les infractions aux systèmes de traitement automatisé des données
• 2007 Première étude sur «Stratégie nationale pour la cybersécurité» - DEPTTI – Deloitte
• 2008 Maroc préside la commission 3 «Structures organisationnelles» du High Level Expert Group – Global Cybersecurity Agenda (ITU)
• 2009 Programme Confiance Numérique (Cybersécurité et Protection des données) - DEPTTI – AT Kearney
       Loi 09-08 protection des personnes physiques à l’égard du traitement des données personnelles
• 2010 La contribution marocaine «Système de Management de la Cybersécurité Nationale» a été approuvée par la Conférence Plénipotentiaire UIT 2010 au Mexique – A cette occasion le Représentant du Maroc a  rencontré Howard  Schmidt– White House Cyber Security Chief – Barack Obama
• 2010 Début des activités du «maCERT» – Coopération Corée du Sud
       Conférence «Cybersécurité et Développement des Compétences» - Ifrane–Al Akhawayn - DEPTTI
• 2011 Transfert des responsabilités relatives à la Cybersécurité du Ministère de l’Industrie, du Commerce et des Nouvelles Technologies au Ministère de la Défense – Création de la DGSSI
• 2012 Nouvelle Stratégie nationale de la cybersécurité - DGSSI
• 2013 Directive nationale de la sécurité des systèmes d’information des IIV – DGSSI
• 2016 Décret n° 2-15-712 fixant le dispositif de protection des systèmes d'information sensibles des infrastructures d'importance vitale – DGSSI
• 2018 Ratification de la Convention de Budapest sur la cybercriminalité, dont le chapitre 3 porte sur la coopération internationale
• 2020 Adoption par le parlement du projet de loi n° 05.20 sur la cybersécurité - DGSSI
-----------------------------------------
Source: TD

                                                                                       

Faits marquants dans le monde et chez nous

cybersecurite-2-078.jpg

■ Au niveau mondial
70% des attaques sont causées par des ransomware et/ou logiciels malveillants
12% des organisations sont capables de détecter de nouvelles menaces
34% des organisations considèrent les employés négligents et mal informés comme étant leurs plus importantes sources de vulnérabilité
78% des opérations de cyber-espionnage ont été des résultats de campagnes de phishing
152,21 milliards de dollars, estimation du marché mondial de la cybersécurité en 2020.
■ Au niveau national
13,4 millions de cyber-attaques ont été détectées entre avril et juin 2020, au Maroc
Hausse de 600% du nombre d’attaques depuis le confinement vs même période en 2019
314 attaques massives contre des serveurs marocains entre juin et juillet 2020
1.000 infections hebdomadaires sur les organisations marocaines
80% de ces attaques se matérialisent par le phishing et les ransomwares
70% des attaques ont été effectuées via la messagerie
Perte de 10 années de travail pour un cabinet d'architectes, à la suite d’un ransomware caché dans un fichier Autocad téléchargé par un employé.
-----------------------------------------
 Source: EY,Dataprotect, Lmps, Eset Maroc

Chère lectrice, cher lecteur,

L'article auquel vous tentez d'accéder est réservé à la communauté des grands lecteurs de L'Economiste. Nous vous invitons à vous connecter à l'aide de vos identifiants pour le consulter.
Si vous n'avez pas encore de compte, vous pouvez souscrire à L'Abonnement afin d'accéder à l'intégralité de notre contenu et de profiter de nombreux autres avantages.

Mot de passe oublié?
CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.
ABONNEZ-VOUS
  • SUIVEZ-NOUS:

  1. CONTACT

    +212 522 95 36 00
    abonnement@leconomiste.com
    mareaction@leconomiste.com
    redaction@leconomiste.com
    publicite@leconomiste.com
    communication@leconomiste.com

    70, Bd Al Massira Khadra
    Casablanca, Maroc

  • Assabah
  • Atlantic Radio
  • Eco-Medias
  • Ecoprint
  • Esjc