Module : Cybersécurité & Cybercriminalité

Préparé par les étudiants :

JEBARA Kawtar
EL OUAHABI Ghizlane
AISSAOUI Hamid
HASHAS Mouhcine
Encadré par le Professeur :

Mr. SLASSI
MOTABIR Adil
 Introduction :
Le développement du numérique figure depuis plusieurs années à l’ordre
du jour de l’action des pouvoirs publics au Maroc. Notre pays a fait le choix, sous
la conduite éclairée de Sa Majesté Le Roi, que Dieu L’assiste, d’accorder une
place de plus en plus large aux nouvelles technologies de l’information et des
communications, eu égard à leur rôle crucial en matière de développement
économique et social. La dynamique enregistrée pour l’accélération de la
transition numérique nationale s’est vue appuyée par le nouveau modèle de
développement qui a consacré le digital comme levier transverse à même
d’assurer un développement responsable et inclusif1.

Les systèmes d’information font aujourd’hui partie intégrante du

fonctionnement des administrations publiques, de l’activité des entreprises et
du mode de vie des citoyens, ils sont devenus indispensables et incontournables.
Sécuriser et contrôler l’information véhiculée par les systèmes d’information
devient un enjeu de plus en plus pressant dans un monde où l’environnement
lié aux technologies de l’information et de la communication est de plus en plus
la cible de diverses menaces.

En effet, les attaques informatiques se multiplient sous toutes les formes

contre les systèmes d’information des pays. Le nombre croissant des violations
de la sécurité a déjà provoqué des dommages financiers et sécuritaires
considérables et représente l’une des menaces majeures à moyen et long
termes. Dans ce contexte, et compte tenu des enjeux et risques liés à la
perspective d’ouverture et de développement, notre pays se trouve désormais,
d’une part, devant l’obligation de mettre en place des mécanismes de protection
et de défense des systèmes d’informations (SI) des administrations, organismes

1 Note De Présentation De La Directive Nationale De La Sécurité Des Si.

2
publics et infrastructures d’importance vitale, et d’autre part, de sensibiliser les
entreprises et les citoyens sur les enjeux et les risques liés aux menaces
informatiques.

Pour ce faire, l’Etat a décidé de renforcer les capacités nationales en

matière de sécurité des systèmes d’informations des administrations,
organismes publics et infrastructures d’importance vitale2.

Cet exposé vise à présenter le rôle de l'Etat par le biais des instances de
gouvernance de la cybersécurité, en mettant en valeur leur responsabilité de
créer un cadre réglementaire solide et de mettre en œuvre des politiques et des
stratégies efficaces pour prévenir et gérer les cyberattaques. Ces instances sont
chargées de coordonner les actions de cybersécurité, de sensibiliser et de former
les utilisateurs aux bonnes pratiques, ainsi que de collaborer avec d'autres
acteurs, tant au niveau national qu'international, pour garantir la sécurité des
systèmes d'information et lutter contre la cybercriminalité.

En outre, elles ont pour mission d'évaluer la conformité aux normes de

cybersécurité, de gérer les incidents de sécurité, d'effectuer des audits et de
développer la recherche dans ce domaine. Cet exposé met en évidence aussi, les
nombreux enjeux auxquels les instances de gouvernance doivent faire face3.

Considérées comme principaux organes de veille et de protection,

2 STRATEGIE NATIONALE EN MATIERE DE CYBERSECURITE

3 KAWTAR TALI, Cybersécurité : Le Maroc renforce son arsenal juridique 20 AOÛT 2021aujourd'hui le Maroc
3
 Pour répondre à cette problématique, de nombreuses questions connexes
s'interfèrent, priment et s'imposent, dont voici les plus pertinentes ;

▪ Comment les instances de gouvernance peuvent-elles assurer une

surveillance efficace des risques liés à la cybersecurité ?

▪ Quel est l'impact de la conformité aux normes et règlementations de la

gouvernance de cybersecurité ?

▪ Quels sont les principaux défis auxquels ces instances de gouvernance

sont confrontées en matière de cybersecurité ?

▪ Quels sont les facteurs clés de succès pour une gouvernance efficace en
matière de cybersecurité ?

Afin de contourner notre sujet, l'analyser et le décortiquer, nous avons

opté pour une répartition en deux chapitres dont une partie, sera consacré à une
critique logique de ces instances en fonction d'un constat du bilan et en fonction
des résultats réalisés.

4
CHAPITRE I : LE CADRE JURIDIQUE ET REGLEMENTAIRE
DE LA CYBERCRIMINALITE

A l'instar des pays émergents, le Maroc s'est retrouvé dans la nécessité de se

doter d'une structure solide, mise en œuvre pour la gouvernance de la
cybersecurité et pour défendre le pays contre les cybermenaces devenues de
plus en plus complexes. Des efforts ont été déployés par les différents acteurs
pour renforcer davantage l'espace cybernétique nationale en vue de garantir un
environnement numérique plus sûr pour tous les citoyens et les organismes
marocains.

Section 1 : Cadre Juridique International et National

a- Cadre International :

Le millénaire actuel reste prédominé par l’apparition des nouvelles

technologies de l’information et de la communication (NTIC)4 qui s’avèrent
omniprésentes, et dont la tendance à la numérisation va grandissant. Internet
en est l’une des infrastructures techniques dont l’explosion et la croissance sont
très spectaculaires. La demande de connectivité à Internet et d’interconnexion
des systèmes a conduit à l’intégration de l’informatique dans des produits qui,
jusqu’alors, en étaient dépourvus. Malheureusement, toute invention humaine
porteuse de progrès peut être aussi génératrice de comportements illicites. Le
coté élogieux d’internet occulte la face la plus redoutable ; et parmi les menaces
liées à cet outil, une se démarque par sa dangerosité et sa complexité : la
cybercriminalité. Celle-ci est l’une des nouvelles formes de criminalité ou de
délinquance sur le réseau Internet, dont les conséquences se révèlent être
particulièrement graves pour la sécurité humaine. De toute évidence, COLIN
ROSE souligne que « la cybercriminalité est la troisième grande menace au
monde après les armes chimiques, bactériologiques et nucléaires»5.

 La convention de Budapest 23 NOV 2001 et son protocole additionnel du

28 JANV 2003 plus le 2eme protocole additionnel relatif à au renforcement

4 NTIC = « Nouvelles Technologies De L’information Et De La Communication », désigne l’ensemble des technologies

permettant de traiter des informations numérique et de les transmettre.
5 FARIH OMAR, Mémoire master cadre conceptuel et théorique de la cybercriminalité.

5
 de la coopération et de la divulgation des preuves électroniques du 12 MAI
2022.

Les professionnels en sécurité de l’information qui examinent le nombre

toujours croissant de cyberattaques auxquelles ils sont confrontés peuvent
penser que rien ne peut arrêter le flot de menaces en ligne. Cependant, sans la
Convention de Budapest sur la cybercriminalité, née il y a 21 ans, ce serait peut-
être encore pire. Aussi connue sous le nom de Convention du Conseil de l’Europe
sur la cybercriminalité, il s’agit du premier accord international au monde visant
à lutter contre les activités criminelles en ligne.

La Convention a eu un impact mondial. Elle a contribué à renforcer et à

harmoniser la législation des pays sur la cybercriminalité, à améliorer l’efficacité
de la coopération internationale dans les enquêtes et les poursuites relatives aux
crimes commis via Internet, ainsi qu’à favoriser les partenariats entre les
secteurs public et privé6.

 Convention De L’union Africaine Sur La Cyber Sécurité Et La Protection

Des Données A Caractère Personnel, Considérant que la présente
Convention portant adoption d’un cadre juridique sur la cyber sécurité et
la protection des données à caractère personnel prend en charge les
engagements actuels des États membres de l’Union Africaine aux plans
sous régional, régional et international en vue de l’édification de la Société
de l’Information.

Cette convention vise à la fois à définir les objectifs et les grandes

orientations de la société de l’Information en Afrique et à renforcer les
législations actuelles des États membres et des Communautés Économiques
Régionales (CER) en matière de Technologies de l’Information et de la
Communication7.

 Convention WIPO Sur La Cybersécurité, déclarations faites lors de

l’adhésion :

6 La Convention de Budapest sur la cybercriminalité a 20 ans ParHoward Solomon

7 Instrument Juridique de l’Union Africaine Page 1

6
 - Conformément à l'article 24 (24.7.a et 24.7.b) et à l'article 27 de la
Convention, le Gouvernement du Royaume du Maroc déclare que
l'autorité chargée de l'envoi et de la réception des demandes
d'extradition ou d'arrestation provisoire et des demandes d'entraide,
en l'absence de traité, est Ministère de la Justice, Direction des Affaires
Pénales et des Grâces.

- Conformément aussi à l'article 35 de la Convention, le Gouvernement

Royaume du Maroc déclare que les points de contact 24/7 désignés
pour les besoins d'enquêtes liées à la cybercriminalité, sont : Bureau
Central National d'Interpol Rabat, Direction de la Police Judiciaire,
Direction Générale de la Sûreté Nationale, Rabat. Présidence du
Parquet Général, Pôle de Suivi des Affaires Pénales et de la Protection
des Catégories Spéciales.

 Convention Arabe Pour La Lutte Contre La Cybercriminalité8 du 21

DECEMBRE 2010, Etablie en langue arabe au Caire, en Egypte le 21
décembre 2010- 15 Moharram 1432 cette convention a pour objectif de
renforcer la coopération entre les pays arabes pour la lutte contre la
cybercriminalité et préserver leur securité, intérêt et intégrité de leurs
sociétés; de mener une politique pénale commune contre la
cybercriminalité en prenant en compte les principes religieux et motaux
suprêmes de la société arabe, se conformer aux traites et chartes arabes
et internationaux relatifs aux droits de l'homme et veiller à leur respect et
leur protection.

b- Cadre National :

Le Maroc s’est engagé depuis 2011, sous la Conduite Eclairée de Sa

Majesté le Roi que Dieu l’Assiste, sur la voie du renforcement de ses capacités
nationales de sécurité des systèmes d’information et de la consolidation de la
confiance numérique. Dans la continuité des actions ainsi entreprises, le

8 Dahir n° 1-13-46 du 1er joumada I 1434 (13 mars 2013) portant promulgation de la loi n° 75-12 portant approbation de la
Convention arabe pour la lutte contre les crimes liés aux technologies de l'information et de la communication (TIC), faite au
Caire le 21 décembre 2010.

7
Royaume s’est doté en 2012 d’une Stratégie Nationale de Cybersécurité et d’une
Directive Nationale de la Sécurité des Systèmes d’Information applicable depuis
2014 aux administrations et organismes publics.

 Pour accélérer la montée en puissance de ce dispositif, l’Administration de

la défense nationale (ADN) a également élaboré en 2020 la loi 05-20
promulguée par le Dahir n°1-20-69 du 4 hija (25 juillet 2020) relative à la
cybersécurité, et ce suite au Haut Assentiment Royal

L’objectif recherché à travers la loi 05-20, considérée comme loi phare de

l'espace cybernétique marocain, est de préconiser les moyens de protection
visant à développer la confiance numérique, favoriser la digitalisation de
l’économie et plus généralement à assurer la continuité des activités
économiques et sociétales de notre pays9.

 La loi 43-20 relative aux services de confiance pour les transactions

électroniques est l'une des lois directeurs régissant le cyberspace
marocain, elle a été adoptée le 31 décembre 2020 Cette loi qui a pour
objet d’assurer la sécurité des transactions électroniques s’inscrit dans un
contexte de transition numérique et de digitalisation accrue des échanges.

Ainsi, la Loi 43-20 institue un cadre légal adapté aux besoins économiques
en proposant des solutions numériques nouvelles, et en organisant les
prestations de services électroniques existantes elle permet de mettre en place
un dispositif propice au développement de la digitalisation et ce d’autant plus
dans le contexte sanitaire actuel Le champ d’application de la Loi 43-20 concerne
tant les services de confiance que l’encadrement des prestataires de services
digitaux10.

 La loi 53-05 fixe le régime applicable aux données juridiques échangées

par voie électronique, à l'équivalence des documents établis sur papier et
sur support électronique et à la signature électronique.

Elle détermine également le cadre juridique applicable aux opérations

effectuées par les prestataires de service de certification électronique, ainsi que

9 Note de présentation relative à la loi 05-20 sur la cybersecurité

10 ALI BOUGRINE ET MYRIAM SLAOUI-MARLAIX, UGGC AFRICA, Les services de confiance pour les transactions électroniques.
8
les règles à respecter par ces derniers et les titulaires des certificats
électroniques délivrés11.

 La Loi 09-08 s’inscrit dans le cadre de la modernisation du système

juridique marocain relatif à la protection des données à caractère
personnel afin de consolider et de renforcer son système de protection du
citoyen face aux nouvelles technologies.

La dite Loi permet également au Maroc de se hisser à la hauteur des

nouveaux défis posés par le digital, et notamment le commerce électronique. La
sécurité des données personnelles est en effet, devenue un enjeu central pour
les investisseurs qui, avant de transférer leurs données dans un pays cible,
n’hésitent plus à conduire une due diligence très approfondie des normes et
règles applicables aux données personnelles de leurs clients et à la sécurité dont
elles font l’objet12.

 La loi 31-08 constitue un cadre complémentaire du système juridique en

matière de protection du consommateur, à travers laquelle sont renforcés
ses droits fondamentaux, notamment :

▪ Le droit à l’information : assurer l’information appropriée et claire du

consommateur sur les produits, biens ou services qu’il acquiert ou utilise

▪ Le droit à la protection de ses droits économiques : garantir la protection du

consommateur quant aux clauses contenues dans les contrats de
consommation notamment les clauses abusives et celles relatives aux services
financiers, aux crédits à la consommation et immobiliers ainsi qu’aux clauses
relatives à la publicité, aux ventes à distance et aux démarchages

▪ Le droit à la représentation : assurer la représentation et la défense des

intérêts du consommateur à travers les associations de protection du
consommateur opérant conformément aux dispositions de la présente loi.

▪ Le droit au choix : fixer les garanties légales et contractuelles des défauts de

la chose vendue ou du service après-vente et de fixer les conditions et les

11 Loi n° 53-05 relative à l'échange électronique de données juridiques. Chapitre préliminaire Article premier
12 La mise en conformité à la loi 09-08 : Une voie incontournable face à l’arsenal répressif WASSIM BENZARTI Avocat au
barreau de Paris
9
 procédures relatives à l’indemnisation des dommages ou préjudices qui
peuvent toucher le consommateur13.

 La loi 24-96 est de définir le cadre juridique précisant le nouveau paysage

du secteur de la poste et des télécommunications, notamment celui des
réseaux des Télécommunications qui pourront être exploités par des
personnes privées détentrices d'une licence qui sera accordée par décret,
sachant que l'Etat fixe les orientations générales du secteur de la poste et
des télécommunications, et l'autorité gouvernementale compétente
veille à leur respect et à leur application14.

 Loi n° 07-03 promulguée par le dahir n° 1-03-197 du 11 novembre 2003 –

16 ramadan 1424 modifiant et complétant le Code pénal.

Loi n° 07-03 complétant le code pénal en ce qui concerne

les infractions relatives aux systèmes de traitement automatisé des données.
Cette loi sanctionne toutes les intrusions non autorisées dans un système de
traitement automatisé de données.

Section 2 : Stratégie Et Directive Nationale En Matière De

Cybersécurité Et De La Sécurité Des Systèmes D'information
a-Stratégie Nationale :

Ainsi, l’écosystème national de la cybersécurité s'est consolidé, de

nouvelles dispositions ont pris forme, notamment après l’entrée en vigueur du
décret n° 2-21-40615 relatif à l’application de la loi n°05-20 relative à la
cybersécurité. Ce texte vise à définir les mesures de protection des systèmes
d’information des administrations de l’Etat, des établissements et entreprises
publics et toute autre personne morale de droit public, ainsi que ceux des
infrastructures d’importance vitale et des opérateurs privés.

13 LOI N°31-08 EDICTANT DES MESURES DE PROTECTION DU CONSOMMATEUR PREAMBULE

14 Loi n°24-96 relative à la poste et aux télécommunications, telle qu’elle a été modifiée et complétée
15 DÉCRET N° 2-21-406 DU 4 HIJA 1442 (15 JUILLET 2021) PRIS POUR L'APPLICATION DE LA LOI N° 05-20 RELATIVE À LA

CYBERSÉCURITÉ

10
 A cet effet, la définition des orientations nationales en matière de sécurité
des systèmes d’information est confiée à l’autorité gouvernementale chargée de
l’Administration de la défense nationale.

Cette instance, par le biais de ses organes, a également pour mission

d’instaurer les règles organisationnelles et techniques à l’application desquelles
doivent veiller les administrations publiques, les collectivités territoriales, les
institutions et entreprises publiques ainsi que toute personne morale soumise
au droit public. Le décret définit aussi le cadre général de classification des
données et des systèmes d’information de ces entités. Cette classification
s’établit sur la base de l’analyse d’impacts des incidents susceptibles de porter
atteinte aux besoins de sécurité. Se référant au décret, la Direction générale de
la sécurité des systèmes d’information procède à l’élaboration des règles de
sécurité devant être appliquées en tenant compte des différents niveaux de
classification des systèmes d’information et données. «Chaque entité ou
infrastructure d’importance vitale désigne un responsable de la sécurité du
système d’information, chargé principalement de définir et d’analyser les défis
et dangers de la cybersécurité auxquels fait face cette entité ou infrastructure,
ainsi que de définir les objectifs de la cybersécurité, la mise en place et le suivi
de la politique de la sécurité de son système d’information ainsi que la
présentation de rapports réguliers relatifs aux menaces y afférentes», peut-on
déduire du décret. S’agissant des dispositions propres aux opérateurs, le texte
juridique insiste sur la conformité aux orientations de l’autorité nationale. Citons
particulièrement celles relatives à la conservation des données techniques
nécessaires à la définition et l’analyse de tout incident de cybersécurité16.

A cela s’ajoute la prise de mesures de protection nécessaires pour la

préservation et la neutralisation des effets des menaces ou des infractions
portant atteinte aux systèmes d’information de leurs clients.
«A cet effet, l’autorité nationale est qualifiée pour mettre en place des outils
techniques sur les réseaux publics des communications et des réseaux des
fournisseurs des services internet exclusivement en vue de détecter les
événements susceptibles d’influer sur la sécurité des systèmes d’information des
clients des opérateurs, des entités et des infrastructures d’importance vitale»,
relève-t-on dudit décret. Le renforcement du secteur national passe également

16 Le site : [Link]
11
par l’instauration d’un système de qualification des prestataires dans les
domaines de détection des incidents de cybersécurité, d’analyse, d’investigation
et de réaction auxdits incidents. L’obtention de cette qualification est tributaire
d’un bon nombre de critères, en l’occurrence la disponibilité chez le demandeur
de l’expertise et de la qualification requises ainsi que des outils lui permettant
d’assurer l’exploitation et la gestion des services de détection et d’analyse des
incidents de la cybersécurité.

Le décret définit en outre les organes chargés de la cybersécurité ainsi

que leur composition et modalité de leur fonctionnement. Citons en premier
l’Autorité nationale de cybersécurité et à laquelle est confiée la mise en œuvre
de la stratégie de l’Etat dans le domaine de la cybersécurité. Cette instance
réfère en effet à la Direction générale de la sécurité des systèmes d’information
(DGSSI). Le deuxième organe de gouvernance n’est tout autre que le comité
stratégique de la cybersécurité dont la création est dictée par l’article 35 de la
loi n°05-20. Le comité se compose des différents départements
gouvernementaux et des institutions concernées. Cet organe peut créer tout
comité qu’il estime nécessaire pour la réalisation de ses missions. Citons à cet
égard le comité de gestion des crises et événements cybernétiques majeurs. Un
comité dont la mission est d’instaurer un cadre qui définit les responsabilités des
membres et des mesures relatives à la gestion des crises et des modalités de
communication et d’échanges des informations17.

b-Directive Nationale De La Sécurité Des SI :

Parallèlement au développement des technologies du numérique, on

assiste de plus en plus à la montée des activités illicites dans le cyberespace et à
la multiplication des attaques informatiques qui arrivent à exploiter les
vulnérabilités des systèmes d’information et à perturber leur fonctionnement.

Afin de rendre opérationnelles les dispositions du cadre juridique en

vigueur et en application de l’article 9 du décret n° 2-21-406. La Direction
Générale de la Sécurité des Systèmes d’Information (DGSSI) a procédé à la mise
à jour de la Directive Nationale de la Sécurité des Systèmes d’Information
(DNSSI), dont la première version a été mise en application et entérinée en date

17 KAWTAR TALI, ibid.

12
du 10 Mars 2014 par circulaire n°3/2014 du Chef du Gouvernement. La nouvelle
version de la DNSSI s’applique à tous les systèmes d’information (SI) des
administrations de l’État, des collectivités territoriales, des établissements et
entreprises publics, toute autre personne morale de droit public désignés dans
la loi 05-20 par « entité », et aux SI des infrastructures d’importance vitale (IIV)
publiques et privées18.

Elle décrit les mesures de sécurité organisationnelles et techniques qui

doivent être appliquées par lesdites entités ou IIV, et constitue un cadre
commun de référence qui fixe les objectifs et arrête les règles de la sécurité des
systèmes d’information.

Toutefois, ce cadre commun ne devra pas être considéré comme suffisant.

Chaque entité doit s’appuyer également sur les guides et référentiels élaborés
par la DGSSI pour renforcer la résilience et la sécurité de leurs SI. Aussi, il
appartient aux responsables des entités ou des IIV d’adapter les dispositions de
la directive au contexte de leurs SI. Globalement, la plupart des règles énoncées
constituent des règles de base qui devraient pouvoir être appliquées. Les écarts
éventuels de conformité par rapport aux règles édictées doivent, le cas échéant,
être dûment motivés et justifiés.

Les objectifs et les règles de sécurité de la DNSSI19 s’organisent sous la

forme des chapitres cités ci-dessous20 :

▪ Politique de sécurité des systèmes d'information ;

▪ Organisation de la sécurité des systèmes d'information ;

▪ Sécurité des ressources humaines ;

▪ Gestion des actifs informationnels ;

▪ Contrôle d'accès ;

▪ Cryptographie ;

18 Le site : [Link]
19
La présente version de la directive a été élaborée en tenant compte notamment, la (DNSSI).
20 Le site : [Link]
13
 ▪ Sécurité physique et environnementale ;

▪ Sécurité liée à l'exploitation ;

▪ Sécurité des communications ;

▪ Acquisition, développement et maintenance des systèmes d'information ;

▪ Relations avec les fournisseurs ;

▪ Gestion des incidents de cybersécurité et de la continuité de l’activité ;

▪ Conformité

Pour la mise en application de cette directive, les entités et les IIV doivent
définir un calendrier de mise en conformité au plus tard six (6) mois après sa
publication. Ce calendrier doit être établi en indiquant les mesures immédiates,
les mesures à court terme et les mesures atteignables à moyen terme21.

21 DGSSI = directive nationale de la sécurité des SI

14
 Chapitre II : Le Rôle Des Instances De Gouvernance
Enjeux Et Défis

A l'instar des pays émergents, le Maroc s'est retrouvé dans la nécessité de se

doter d'une structure solide, mise en œuvre pour la gouvernance de la
cybersecurité et pour défendre le pays contre les cybermenaces devenues de
plus en plus complexes. Des efforts ont été déployés par les différents acteurs
pour renforcer davantage l'espace cybernétique nationale en vue de garantir
un environnement numérique plus sûr pour tous les citoyens et les organismes
marocains.

Section 1 : Instances De Gouvernance De La Cybersecurité et

Acteurs Du Cyberdéfense Au Maroc
a- Rôles des instances de gouvernance :

1-Direction Générale de la Sécurité des Systèmes d'Information (DGSSI)22

La direction générale de la sécurité des systèmes d'information (DGSSI) a

été créée par décret n° 2-11-509 du 21 septembre 2011. Elle est rattachée à
l'administration de la défense nationale du Royaume du Maroc, est chargée de :

▪ Coordonner les travaux interministériels relatifs à l'élaboration et la mise en

œuvre de la stratégie de l'état en matière de sécurité des systèmes
d'information.

▪ Veiller à l'application des directives et orientations du comité stratégique de

la sécurité des systèmes d'information.

▪ Certifier les dispositifs de création et de vérification de signature électronique

et agréer les prestataires de service pour la certification électronique.

▪ Assurer les audits de sécurité des systèmes d'information des administrations

et organismes publics dont le périmètre et les modalités seront fixées par le
comité stratégique de la sécurité des systèmes d'informations.

22 [Link]
15
▪ Mettre en place, en relation avec les départements ministériels, un système
de veille de détection d'alerte des éléments affectant ou susceptibles
d'affecter la sécurité des systèmes d'information de l'état et cordonner les
mesures devant être prises à cet effet.

▪ Organiser des cycles de formation et des actions de sensibilisation au profit

du personnel des administrations et organismes publics.

▪ Délivrer des autorisations et gérer les déclarations relatives aux moyens et aux
prestations de cryptographie.

▪ Assurer la veille technologique pour anticiper les évolutions nécessaires en

matière de sécurité des systèmes d'information.

▪ Assister et conseiller les administrations et organismes publics ainsi que le

secteur privé pour la mise en place de la sécurité de leurs systèmes
d'information.

▪ Le développement des dispositifs nécessaires à la mise en œuvre de systèmes

sécurisent au profit des administrations et organismes publics.

La Direction Générale de la Sécurité des Systèmes d'Information comporte

quatre (04) Directions :

1. LA DIRECTION DE GESTION DU CENTRE DE VEILLE, DÉTECTION ET

RÉPONSE AUX ATTAQUES INFORMATIQUES (maCERT)

Cette direction est chargée de la mise en œuvre, en relation avec les autres
administrations, de systèmes de veille, de détection, d'alerte des événements
susceptibles d'affecter la sécurité des systèmes d'information de l'Etat et de la
coordination de la réaction à ces événements.

2. LA DIRECTION DE LA STRATÉGIE ET DE LA RÉGLEMENTATION

Cette direction est chargée de la proposition des projets de textes de lois

et de règlements en rapport avec la sécurité des systèmes d'information, de
l'instruction des dossiers relatifs notamment aux déclarations et aux
autorisations relatives aux produits réglementés et de la certification des
dispositifs de création et de vérification de signature électronique.

16
 3. LA DIRECTION DE L'ASSISTANCE, DE LA FORMATION, DU CONTRÔLE ET
DE L'EXPERTISE

Cette direction est chargée notamment de proposer des

recommandations, des référentiels techniques et des méthodes à utiliser pour
améliorer le niveau de sécurité et d'assurer les audits des systèmes
d'information des administrations et organismes publics.

4. LA DIRECTION DES SYSTÈMES D'INFORMATION SÉCURISÉS

Cette direction est chargée du développement de dispositifs nécessaires à

la mise en œuvre de systèmes sécurisés au profit des administrations et
organismes publics23.

2-COMITÉ STRATÉGIQUE DE LA CYBERSÉCURITÉ24

Créé par la loi n° 05-20 du 25 juillet 2020, le Comité Stratégique de la

cybersécurité (CSC), anciennement appelé le Comité Stratégique de la Sécurité

23 Le site : [Link]
24Le site : [Link]
17
des Systèmes d’Information, est l'autorité chargée d’élaborer les orientations
stratégiques de l’Etat en matière de cybersécurité conformément aux
dispositions de l’article 2 du décret n° 2-21-406 précité, le comité stratégique de
la cybersécurité est présidé par le ministre délégué auprès du chef du
gouvernement chargé de l’administration de la défense nationale.

Ce comité se compose des membres ci-après :

▪ Le ministre chargé de l’intérieur.

▪ Le ministre chargé des affaires étrangères.

▪ Le ministre chargé de l’économie et des finances.

▪ Le ministre chargé de l’industrie et de l’économie numérique.

▪ L’inspecteur général des Forces armées royales.

▪ Le commandant de la gendarmerie royale.

▪ Le directeur général d'études et de documentation.

▪ Le directeur général de la sûreté nationale.

▪ Le chef du 5ème bureau de l’état-major général des Forces armées

royales.

▪ L’inspecteur des transmissions des Forces armées royales.

▪ Le directeur général de la surveillance du territoire.

▪ Le directeur général de la sécurité des systèmes d’information.

▪ Le directeur général de l’agence nationale de réglementation des

télécommunications.

▪ Le directeur général de l’agence de développement du digital.

18
 ▪ Les administrations de l’Etat, les collectivités territoriales, les
établissements et entreprises publics et toute autre personne morale de
droit public.

▪ Les exploitants des réseaux publics de télécommunications, les

fournisseurs d’accès à Internet, les prestataires de services de
cybersécurité, les prestataires de services numériques et les éditeurs de
plateformes Internet.

Ce comité est chargé de nombreuses missions à savoir

▪ Elaborer les orientations stratégiques de l'Etat en matière de

cybersecurité et veiller sur la résilience des systèmes d'information des
entités, des infrastructures d'importance vitale.

▪ Veiller sur la résilience des systèmes d’information des entités(1), des

infrastructures d’importance vitale et des opérateurs(2) visés à la section
III du chapitre II de la loi n° 05-20 précitée.

▪ Évaluer annuellement le bilan d’activité de la direction générale de la

sécurité des systèmes d’information.

▪ Évaluer les travaux du comité national de gestion des crises et évènements

cybernétiques majeurs prévu à l’article 36 de la loi susmentionnée n° 05-
20.

▪ Arrêter le périmètre des audits de la sécurité des systèmes d’information

effectués par la direction générale de la sécurité des systèmes
d’information

▪ Promouvoir la recherche et développement dans le domaine de la

cybersécurité

▪ Promouvoir les programmes et actions de sensibilisation et de

renforcement des capacités en cybersécurité au profit des entités et des
infrastructures d’importance vitale

19
 ▪ Donner son avis sur les projets de lois et de textes réglementaires se
rapportant au domaine de la cybersécurité.

3- COMITÉ DE GESTION DES CRISES ET ÉVÈNEMENTS CYBERNÉTIQUES

MAJEURS25

Conformément à l’article 36 de la loi n°05-20 relative à la cybersécurité, il

est institué, auprès du comité stratégique de la cybersécurité, un comité de
gestion des crises et évènements cybernétiques majeurs, chargé d’assurer une
intervention coordonnée en matière de prévention et de gestion de crise par
suite d’incidents de cybersécurité.

Organisation du comité de gestion des crises et évènements

cybernétiques majeurs, Conformément à l’article 6 du décret n° 2-21-406 pris
pour l’application de la loi relative à la cybersécurité, le comité de gestion des
crises et événements cybernétiques majeurs, présidé par la direction générale
de la sécurité des systèmes d’information, se compose des représentants des
autorités et organismes ci-après :

▪ L’autorité gouvernementale chargée de l’intérieur.

▪ L’inspection générale des Forces armées royales.

▪ La gendarmerie royale.

▪ La direction générale d’études et de documentation.

▪ La direction générale de la sûreté nationale.

▪ La direction générale de la surveillance du territoire.

▪ Le 5ème bureau de l’état-major général des Forces armées royales.

▪ L’inspection des transmissions des Forces armées royales.

Pour faire face aux incidents de cybersecurité majeurs, le comité de

gestion des crises et événements cybernétiques majeurs peut décider des

25 Le site: [Link]
20
mesures que les responsables des entités et des infrastructures d'importance
vitale doivent mettre en œuvre et élaborer des recommandations et conseils
destinés aux opérateurs du secteur privé et aux particuliers26.

A cet effet, les exploitants des réseaux publics de télécommunications, les

fournisseurs d'accès à Internet, les prestataires de services de cybersecurité et
les prestataires de services numériques doivent répondre aux prescriptions et
demandes de concours et d'assistance technique du comité de gestion des crises
et événements cybernétiques majeurs.

4- MACERT27

Le maCERT (Moroccan Computer Emergency Response Team) est le centre

de veille, détection et réponse aux attaques informatiques. La Direction de
gestion de ce centre qui fait partie des quatre directions de la DGSSI est chargée
de la mise en œuvre, en relation avec les autres administrations, de systèmes de
veille, de détection, d'alerte des événements susceptibles d'affecter la sécurité
des systèmes d'information de l'Etat et de la coordination de la réaction à ces
événements.

Il est évident qu'avec l'accroissement continu de l'usage des SI, et au

regard de leur rôle déterminant dans les processus métiers, la mise en place
d'une structure nationale participant à la protection de ces systèmes est
devenue une nécessité absolue, en l'occurrence pour accompagner le
développement du pays sur tous les plans.
La création du maCERT s'inscrit dans le cadre du renforcement de la Sécurité des
Systèmes d'Information dont les objectifs sont : « disponibilité, intégrité,
confidentialité et traçabilité ».

Le maCERT offre notamment les services suivants :

▪ Services réactifs

▪ Alertes et avertissements

26 Article 37 de loi 05.20

27 [Link]

21
 ▪ Gestion des incidents

▪ Analyse des Incidents

▪ Appui à la réponse

▪ Services proactifs

▪ Annonces

▪ Veille technologique

▪ Evaluation de la sécurité

▪ Service de détection des intrusions

▪ Diffusion des informations relatives à la sécurité

b- Les Acteurs Du Processus Stratégique De Cyberdéfense

Confronté à des défis croissants en matière de la cybersécurité dus à
l'utilisation croissante des technologies numériques, et la sophistication des
cybers menaces le Maroc est doté d'une panoplie d'acteurs en la matière parmi
ces intervenants il y'a28 :

 l’Agence Nationale de Réglementation des Télécommunications

(ANRT) qui est chargée de la régulation et de la réglementation du
secteur des télécommunications

 la Commission Nationale de contrôle de la protection des Données

à caractère Personnel (CNDP) dont la responsabilité est de contrôler
le respect de la législation en matière de protection des données
personnelles.

28
Sous site [Link]
22
  le Centre Marocain de Recherches Polytechniques et d’Innovation
(CMRPI) qui porte la Campagne Nationale de Lutte Contre la
Cybercriminalité.

Outre la politique nationale, le Maroc a élaboré des partenariats avec des

Etats tiers dans le but d’accroitre sa protection et tirer profit du savoir-faire et
du retour d’expérience. A titre d’exemple, en 2011, la Corée du Sud a participé
au développement du maCert. En 2013, la DGSSI et l’ANSSI ont procédé à la
signature d’un accord de coopération ainsi que la ratification en 2018 par les
représentants marocains, de la Convention de Budapest sur la cybercriminalité,
qui dans son chapitre 3 stipule explicitement les protocoles de coopération
internationale.

Au cours des dernières années, a eu lieu l’intégration du Royaume dans le

projet de coopération Cybersud avec l’UE ainsi que d’autre pays méditerranéens
dans un espoir commun de renforcer l’aptitude de lutte contre ce phénomène
contraignant. Enfin, en juillet 2021, a connu la signature du directeur général du
cyber direction israélienne ainsi que son homologue marocain.

Aussi il s'impose de noter que l’offre de cybersécurité au Maroc est

marquée par une forte présence internationale. On y retrouve :

. Des entreprises américaines à l’instar de (Symantec, Fortinet, Palo Alto

Networks) • des acteurs européens comme (Bitdefender, Kaspersky)

. Des compagnies françaises (Orange-Maroc, Orange-Cyberdéfense,

Thales, Devoteam, Atos) Il existe, également, sur le marché marocain des
intervenants de taille moyenne, comme :

. 6cure : éditeur français de solutions anti DDoS présent sur le marché et

qui a permis aux entreprises et opérateurs marocains de créer des espaces
numériques de confiance afin de garantir l’intégrité des moyens de
communication ainsi que la sécurité et la disponibilité de leurs infrastructures IT.

. Systancia : expert français de la virtualisation, de la cybersécurité et de la

confiance numérique, qui travaille avec un représentant et plusieurs
intégrateurs.

23
 . La firme chypriote Secmentis dessert le Maroc sur une base ponctuelle
depuis son siège social à Limassol. Elle est spécialisée dans les tests de
pénétration, le renseignement sur les menaces et la défense proactive de
l’infrastructure informatique29.

Section 2 : Etat Des Lieux Et Les Enjeux Et Défis Des

Instances De Gouvernance De Cybersécurité
a- État des lieux :

Le cyberespace est devenu un enjeu géopolitique majeur, caractérisé par

une augmentation de l'interdépendance des systèmes d'information et une
augmentation de l'exposition aux cybermenaces. C'est le cas du Maroc, pays en
pleine croissance numérique et connecté à l'économie mondiale. La sécurité
nationale, la souveraineté et le développement économique du pays dépendent
de la protection des systèmes d'information et des infrastructures critiques.

Le Maroc considère la gouvernance de la cybersécurité comme un

élément crucial face à ces enjeux. Il s'agit d'un ensemble de structures, de
processus et de mécanismes mis en place pour assurer la sécurité des systèmes
d'information et des infrastructures critiques.

Selon Le Global Cybersecurity Index - GCI qui est considéré comme une initiative
multipartite visant à sensibiliser à la cybersécurité et à mesurer l'engagement
des pays en faveur de la cybersécurité qui recoupe plusieurs industries et
secteurs. Les pays sont évalués en fonction du niveau de développement ou
d'engagement suivant :

▪ Actions juridiques.

▪ Les mesures techniques.

29
Mouhir, Mme Mokhtar auditeurs de la 4ème promotion MSIE de l'EGE le 8 février 2023 (EGE) ÉCOLE DE
GUERRE ÉCONOMIQUE
24
 ▪ Actions Organisationnelles.

▪ Apprentissage et collaboration.

L'objectif de la gouvernance de la cybersécurité est de prévenir, de

détecter et de réagir aux cyberattaques, de protéger les données sensibles et de
garantir la continuité des services numériques.

Le Maroc a réalisé l'importance de la cybersécurité et a mis en œuvre une

bonne gouvernance. Des instances spécifiques ont été créées, des lois et des
stratégies ont été adoptées, et des collaborations avec les acteurs
internationaux ont été développées pour traduire cette volonté.

Toutefois, des difficultés majeures subsistent. Le déficit en personnel

compétent, la sous-information sur les risques liés à la cybersécurité et la
dispersion des actions sont autant de freins majeurs à l'amélioration de la
gouvernance de la cybersécurité au Maroc.

Ce chapitre vise à dresser un état des lieux de la gouvernance de la

cybersécurité au Maroc. Il s'agit d'analyser les forces et les faiblesses du système
actuel, d'identifier les défis à relever, les enjeux et de proposer des
recommandations pour améliorer la gouvernance de la cybersécurité dans le
pays.

Le Maroc a accompli des progrès notables dans la mise en place d'une

politique de cybersécurité. La création d'instances dédiées, l'adoption de lois et
de stratégies, et le développement de collaborations internationales constituent
des avancées importantes, Malgré ces progrès, des défis importants persistent.
Le manque de ressources humaines qualifiées, la faible sensibilisation aux
risques de cybersécurité et la fragmentation des initiatives constituent des
obstacles majeurs à l'amélioration de la cybersécurité au Maroc.

Des pas de géant ont néanmoins été accomplis depuis l’adoption de la

DNSSI qui s’adresse aux organismes d’importance vitale. Des efforts
considérables ont été consentis en termes de sensibilisation et d’obligation avec
pour conséquence que ces organismes considèrent désormais la cybersécurité
comme une priorité. Mais cet effort est limité par définition aux organismes

25
d’importance vitale et laisse de côté la majeure partie du secteur privé. Depuis
l’adoption de la DNSSI en 2013, l’arsenal juridique marocain n’a guère changé, si
ce n’est la promulgation de quelques décrets d’applications au niveau de la loi
09-08. Les véritables enjeux résident dans la mise en vigueur des lois. Autrement
dit, le Maroc dispose d’un arsenal juridique comparable à ce qui se fait de mieux
dans le monde, mais il demeure de nombreux problèmes d’applicabilité. Les
magistrats continuent à se référer au droit commun pour incriminer des actes
de cybercriminalité parce que c’est plus commode que de se référer aux
nouvelles lois. A titre d’exemple, quand on confisque un disque de l’ordinateur
d’un suspect, que va-t-on faire de cette pièce à conviction, quel type
d’intervention pratiquer, combien de temps la conserver, comment déterminer
si son propriétaire est bien responsable de son contenu, etc. Bien des zones de
flou demeurent et pourtant, au même moment, on assiste à une recrudescence
du nombre des actes criminels30, Est-ce que la législation marocaine va évoluer
? La CNDP a exprimé le vœu que le Maroc complète la loi 09-08 et se dote d’une
législation comparable au RGPD. Il existe des pressions en provenance des
donneurs d’ordre européens pour que la législation marocaine évolue dans ce
sens-là.

Les résultats de l’étude montrent que peu d’entreprises dépassent la barre

des cinq millions de dirhams et plus en matière d’investissements en
cybersécurité. La plupart des entreprises investissent moins d’un million de
dirhams, ce qui est peu. Les répondants disent souvent qu’ils ont de la peine à
convaincre leur direction générale d’investir dans la cybersécurité. Résultat : ils
n’investissent que lorsqu’il y a un incident. C’est une problématique que tout
praticien de cybersécurité rencontre tous les jours dans le cadre de ses fonctions.
Il y a aussi un problème de ressources humaines. Le Maroc compte trois fois plus
d’habitants que la Tunisie et pourtant il forme deux fois moins d’ingénieurs : 7
500 diplômés par an au Maroc contre 15 000 en Tunisie. Comment expliquer une
telle contre-performance ? Il y a tout d’abord, une approche trop élitiste alors
qu’il faudrait éliminer les barrières à l’entrée et encourager le maximum de
jeunes à poursuivre des études d’ingénieur. Ensuite, il faut aussi donner une
chance aux gens qui ne sont pas ingénieurs mais ont développé une expertise en
cybersécurité. Ainsi, DATAPROTECT compte parmi ses employés des jeunes qui
n’ont même pas le baccalauréat mais qui sont des passionnés de cybersécurité

30
Ali El Azzouzi, Président-Directeur Général, Dataprotect, Livre Blanc : les enjeux de la cybersecurité au Maroc,
Page 2.
26
et ont tout appris par eux-mêmes. Il est important d’aller puiser dans le vivier de
ressources de l’underground des hackers repentis pour améliorer notre capacité
de penser hors des chemins battus. Ce sont des gens qui sont techniquement à
l’avant-garde de la cybersécurité. Ils réussissent tous les tests d’admission sans
difficulté. Il nous reste à les former sur la communication, sur la rédaction de
rapports, etc. On n’a pas besoin de les chercher longtemps, ce sont eux qui nous
repèrent et nous offrent leurs services. Mais il s’agit de candidatures atypiques
qui restent relativement peu nombreuses. D’une façon générale, le Maroc ne
produit pas assez d’ingénieurs spécialisés en cybersécurité et il doit affronter une
concurrence mondiale féroce. A peine formés, nos meilleurs ingénieurs quittent
le Maroc pour aller travailler à l’étranger. La conséquence de cette insuffisance
quantitative et de ce « brain drain » qualitatif est qu’il y a inadéquation entre
l’offre et la demande. Il faut multiplier les programmes universitaires en
cybersécurité31.

Pour faire du Maroc une nation sécuritaire, il est fondamental de changer

les mentalités et de rendre « naturelle » l’adoption de la « security by design ».
Il faut que la sécurité soit intégrée systématiquement dans l’évolution
technologique dès la conception des solutions, qu’elles soient informatiques ou
autre. Pour traduire cette évolution dans les faits, il convient de considérer la
cybersécurité sous deux angles : la souveraineté numérique et la confiance
numérique.

➢ 1 - Souveraineté numérique.

Trop souvent, il arrive que des organismes marocains hautement sensibles

confient la surveillance de leurs actifs informationnels à des intervenants
étrangers. Le Maroc a une industrie de la cybersécurité embryonnaire, il y a peu
d’entreprises spécialisées et c’est dommage car il serait facilement possible de
répondre à la demande locale. En outre, il s’agit d’un type de services doté d’un
fort potentiel d’exportation qui pourrait générer une grande valeur ajoutée pour
le Maroc. Il est important de favoriser l’émergence d’une industrie locale forte,
ce qui peut être fait en misant sur l’ouverture des marchés publics à des acteurs
locaux et en encourageant l’innovation dans le secteur. Pour que les marchés
publics deviennent un facteur dynamique de développement, il faut que l’État

31 Ali el Azzouzi, Ibid, Page 3.

27
cesse d’organiser des appels d’offre basés sur le plus bas soumissionnaire au
profit de l’établissement de véritables partenariats public-privé. Pour cela, il est
indispensable que les pouvoirs publics disposent d’une stratégie d’équipement
à long terme et qu’elle la fasse largement connaître. En effet, les entreprises de
cybersécurité ont besoin de connaître à l’avance les besoins du gouvernement
pour mobiliser des ressources adéquates et engager les ressources humaines
appropriées.

➢ 2 - La Confiance numérique.

La confiance numérique a fait des progrès indubitables au Maroc depuis

l’adoption de la DNSSI qui s’adresse aux organismes d’importance vitale. Des
efforts considérables ont été consentis en termes de sensibilisation et
d’obligation avec pour conséquence que ces organismes considèrent désormais
la cybersécurité comme une priorité. Mais cet effort est limité par définition aux
organismes d’importance vitale et laisse de côté la majeure partie du secteur
privé ainsi que le grand public. Qui plus est, le fait d’avoir confié la cybersécurité
à la Défense nationale par le truchement de la DGSSI comporte un inconvénient.
La culture de secret qui caractérise la Défense nationale a tendance à rendre
inaccessible l’information colligée par la DGSSI. Tout est géré dans la plus grande
discrétion alors que pour faire de la sensibilisation, il faudrait au contraire
conférer la plus grande visibilité possible à cette activité. Le résultat est que la
sensibilisation du grand public progresse peu. Il y a de nombreux cas sociaux,
surtout parmi les jeunes. Des cas de pédophilie en ligne sont signalés chaque
année. Or, cela rentre bien dans le cadre de la lutte contre la cybercriminalité
car ces actes sont perpétrés via des moyens technologiques. Le phénomène est
comparable pour les PME. Bien du travail reste à faire dans ce domaine aussi. Or,
le tissu économique marocain est surtout composé de PME32.

b- Enjeux et défis de la Cybersecurité au Maroc

Vu l’ampleur des risques encourus, il est impératif de se protéger contre

la multitude d’attaques que les systemes d'information peuvent subir. La
cybersecurité permet d’employer des méthodes préventives et de surveillance

32 Ali el Azzouzi, Ibid, Page 4 & 5.

28
pour contrer les cyberattaques33. Elle débute par l’implantation de bonnes
pratiques au sein même des entités. Ainsi, la cybersecurité permet d’améliorer :

• la sécurité : par la mise en place des contrôles axés sur les risques pour se
protéger contre les menaces connues et émergentes et de se conformer aux
règles et aux normes en la matière.

• la vigilance : par la détection des infractions et des anomalies grâce à une

meilleure prise de conscience de la situation à l’échelle de l’entreprise.

• la résilience : par le développement de la capacité de reprendre les activités

normales et de réparer les dommages subis par l’entreprise.

Le Maroc, à l'instar d'autres pays, s'est engagé dans la transformation

numérique. Cette évolution s'accompagne d'une augmentation des risques de
cyberattaques, menaçant la sécurité nationale, la souveraineté et le
développement économique du pays. La cybersecurité devient donc un enjeu
crucial pour le Maroc.

Le Maroc connait une augmentation alarmante des cyberattaques, ces

dernières années. En 2023, les autorités marocaines ont recensé pas moins de
150 cyberattaques, dont 133 étaient critiques. Cette tendance haussière met en
lumière les enjeux majeurs de la cybersecurité pour le pays, menaçant aussi bien
la sécurité nationale que l'économie numérique34.

1. Impact sur la sécurité nationale : Les cyberattaques peuvent cibler des

infrastructures critiques du pays, telles que les réseaux électriques, les systèmes
de transport, ou encore les institutions gouvernementales. En cas d'intrusions
réussies, ces attaques pourraient avoir des conséquences graves, allant de
perturbations majeures des services essentiels à des vols de données sensibles,
compromettant la sécurité nationale du Maroc.

2. Risques pour l'économie numérique : Le Maroc a fait de la transformation

digitale un pilier de sa stratégie de développement économique. Cependant, les

33Cybersecurité en entreprise « Guide de bonnes pratiques », page 13.

34 Karim Er-Raihani, "La cybersécurité au Maroc: Enjeux et défis"(2023), au site:
[Link]
solutions-55-brains-nez1e consulté le 21/04/2024 à 20 :30min.

29
cyberattaques contre les entreprises marocaines, notamment les PME, peuvent
causer des dommages financiers considérables. Le vol de données
confidentielles, l'interruption d'activités, ou encore la perte de réputation
peuvent nuire gravement à la compétitivité des entreprises et freiner l'essor de
l'économie numérique nationale.

3. Menaces pour les citoyens marocains : Les cyberattaques ne se limitent pas

aux institutions et aux entreprises. Les citoyens marocains sont également
exposés à des risques croissants, tels que le vol d'identité, la fraude bancaire, ou
encore l'espionnage en ligne. Ces attaques peuvent avoir des conséquences
importantes sur la vie privée des individus et engendrer des pertes financières
considérables.

Face à ces enjeux majeurs, le Maroc a entrepris des actions concrètes

pour renforcer sa cybersécurité. L'adoption d'une loi sur la cybersécurité, la
création d'un CERT national, la sensibilisation et la formation des citoyens et des
professionnels, ainsi que le développement d'une industrie nationale de la
cybersécurité témoignent de la volonté du pays de se prémunir contre les
cybermenaces.

Cependant, il reste encore beaucoup à faire. La collaboration étroite

entre les secteurs public et privé est essentielle pour mettre en place une
stratégie nationale de cybersécurité efficace. L'investissement continu dans des
technologies de pointe et dans le développement de compétences de pointe est
également crucial pour faire face aux attaques sophistiquées qui ne cessent de
se développer35.

35
Sous site : [Link]
30
 Conclusion :
Dans le dédale de l'ère numérique, où l'innovation et le risque sont les
deux éléments qui gouvernent, les états se trouvent à la croisée des chemins
entre l'évolution technologique et l'augmentation du paysage des menaces et
jouent le rôle de gardiens, responsables de préserver leurs biens précieux face à
un paysage de dangers en perpétuelle évolution. La croissance exponentielle des
risques cybernétiques a placé la cybersécurité au cœur des priorités des états.
Un changement de paradigme a été provoqué par la prise de conscience qu'une
seule violation peut causer des dommages considérables non seulement aux
données sensibles, mais aussi à la réputation et à la rentabilité économique des
états.

Aucun pays ne prévoit de mettre en place un bouclier numérique qui

pourrait faire face à toute cyberattaque qui le vise. Cependant, il est essentiel de
renforcer la sécurité informatique afin de se préparer à de nouvelles attaques
organisées. Il est nécessaire de renforcer les efforts déployés dans les domaines
public et privé : il reste encore de vastes opportunités de progrès. Il est
nécessaire de réorganiser un écosystème public et privé dans ce domaine, et de
renforcer une gouvernance efficace de la sécurité numérique de l'État.

Le Maroc a réalisé des progrès significatifs en matière de transformation

digitale, il a déployé durant la dernière décennie plusieurs programmes
nationaux pour le développement du digital (e-Maroc 2010, Maroc Numérique
2013, Maroc Digital 2020…). Un état des lieux permet en effet de dégager
d’importants acquis réalisés à tous les niveaux, comme il permet de mettre le
doigt sur des freins à cette transformation. Aux enjeux et challenges de la
transition numérique, s’ajoutent désormais une accélération de l’adoption des
technologies émergentes telles que l’intelligence artificielle (IA), qui démontre
un grand potentiel aux domaines d’application multiples : santé, sécurité,
transport, performance des services administratifs, éducation.

Cette nouvelle révolution positionne la GenAI comme une technologie de

rupture qui viendra fondamentalement transformer les états et bien évidement
les entreprises. Ainsi, la GenAI apportera de nouvelles solutions pour traiter le
risque, mais contribuera par ailleurs à son accroissement avec son lot de

31
nouveaux risques à appréhender (intégrité des données résultant du traitement
de la GenAI, risques liés aux modèles, biais cognitifs...).

Le risque cyber notamment restera toujours un des principaux risques à

considérer dans le cadre de cette adoption technologique.

En somme la tâche qui pèse sur les politiques publiques au Maroc est de
mettre sur pied un dôme de protection par de nouvelles technologies et une
mise à jour de la réglementation en vigueur. L'augmentation des budgets
consacrés à la cybersécurité et la part importante allouée à la dimension cyber
des investissements technologiques nécessiteront probablement, dans les
années à venir, une attention accrue à l'efficacité de ces investissements et à la
rationalisation des coûts cyber, à l'instar de ce qui se fait actuellement dans
d'autres régions du monde telles que les États-Unis ou l'Europe.

32
 Annexe :

Cas Pratiques de l’adaptation de cybersécurité aux instances de

gouvernance :

La cybersécurité est la pratique consistant à protéger les systèmes

critiques et les informations sensibles contre les attaques numériques.
Également connues sous le nom de sécurité des technologies de l'information
(TI), les mesures de cybersécurité sont conçues pour lutter contre les menaces
contre les systèmes et applications en réseau, que ces menaces proviennent de
l'intérieur ou de l'extérieur de l'organisation36.
Les organisations qui font l’objet d’une présentation détaillée ont été
choisies en fonction de leur appartenance aux différents segments de
l’économie de façon à donner un aperçu aussi complet que possible de vérité
des activités du secteur de la sécurité avancée au Maroc, La longueur des études
de cas varie beaucoup d’une organisation à l’autre et il ne faut pas y voir un
jugement de valeur, il faut plutôt y voir un reflet de politique des dirigeants en
matière de partage de l’information.
Par conséquence, pour étudier et analyser l’application du cybersécurité
au Maroc par des études de cas, nous avons divisé ces cas à deux parties, Les
politiques de gouvernance de la CyberSecurité au Secteur Publique, et Les
politiques de gouvernance de la CyberSecurité dans le Secteur Privé au Maroc.
1- Au Secteur Public : Ministère De La Transition Numérique Et De La
Réforme De L’administration37

La Division des systèmes d’information interne (DSII)38 du Ministère De La

Transition Numérique Et De La Réforme De L’administration et de la Fonction
publique, compte 12 employés. Au sein de cette équipe, il y a un Responsable de
la sécurité des systèmes d'information (RSSI)39 et deux employés affectés à la
cybersécurité à temps partiel. Faute de ressources humaines en nombre

‫بموقع‬ ‫منشور‬ ،2021 ‫يوليوز‬ ،"‫والتحديات‬ ‫الواقع‬ ...‫بالمغرب‬ ‫السيبراني‬ ‫"األمن‬ ،‫مليح‬ ‫يونس‬ 36

17:41 :‫ على الساعة‬،2024/04/16 ‫ تاريخ الزيارة‬، [Link]

37 [Link]/fr/[Link].
38 DSII = Division des Systèmes d’Information Interne.
39 RSSI = Responsable de la sécurité des systèmes d'information

33
suffisant, les spécialistes de sécurité doivent aussi prendre en charge d’autres
projets. Le nombre de postes budgétaires alloués à la DSSI demeure
insatisfaisant40.
En 2016, la DSII a procédé à un audit de sécurité (organisationnel,
environnemental et technique) des systèmes d’information du ministère afin de
s’aligner avec la Directive nationale de la sécurité des systèmes d’information
(DNSSI). En tout le ministère compte 240 ordinateurs, plusieurs dizaines de
serveurs, des sites web, un intranet et une plate-forme de virtualisation ainsi que
des systèmes de gestion et de métier.
Un bureau d’étude en cybersécurité a été choisi au terme d’un appel
d’offre ouvert afin de seconder la DSII. Le processus a duré six mois et a permis
d’identifier les forces et faiblesses du ministère en matière de cybersécurité. La
Direction générale de la sécurité des systèmes d'information (DGSSI) qui relève
de l’administration de la Défense nationale.
A la lumière de cet audit toute une série de décisions ont été prises :
▪ Création d’un comité de sécurité des systèmes d’information qui est
présidé par le secrétaire général du Ministère et qui comprend les
directeurs de chaque entité de celui-ci.
▪ Création d’un poste de RSSI et désignation de son titulaire.
▪ Mise en place d’une politique de sécurité des systèmes d’information.
▪ Mise en place des procédures.
▪ Organisation de séances de sensibilisation : tous les fonctionnaires du
Ministère sont réunis une fois par an sous forme de conférences suivies
de débats ouverts (information sur la politique de sécurité du Ministère et
des dispositions à prendre en fonction de l’actualité).
▪ Mise en conformité à la loi 09-08 sur la protection des données à caractère
personnel.
▪ Plan d’action de sécurité sur trois ans élaboré pour renforcer la sécurité
des systèmes d’information du Ministère à travers la réalisation de
plusieurs projets en relation avec la sécurité : acquisition des solutions de
renforcements de la sécurité, correction des vulnérabilités,
renouvellement des licences de sécurité, etc.

2- Au Secteur Privé : Groupe d’Assurance LYAZIDI41

40 Livre Blanc, Les enjeux de la cybersécurité au Maroc, bibliothèque nationale du Royaume du Maroc, juin 2018, [Link]
41 [Link].
34
 Dans le domaine de l’assurance, la plupart des courtiers travaillent avec le
système d’information des grandes compagnies d’assurance (RMA WATANYA,
Axa Assurance Maroc, WAFA Assurance, SAHAM Assurance, Atlanta/SANAD,
etc.). Ils sont connectés directement aux sites de ces compagnies qui gèrent la
sécurité pour eux.
Dès 1982, le groupe d’assurances LYAZIDI a créé son propre département
d’informatique avec pour mission d’assurer la disponibilité des serveurs et
fournir un service de « help desk » aux utilisateurs. Dans ce cadre, LYAZIDI a
développé en interne sa propre application de gestion de courtiers et
intermédiaires d’assurance. Toute une série d’applications spécialisées ont
ensuite été greffées sur cette base : comptabilité, ressources humaines,
transactions commerciales, etc. Le département informatique s’est peu à peu
transformé en système d’information doté de programmes de « business
intelligence » et d’aide à la décision. Tous les processus qui s’y prêtaient, ont été
automatisés. Aujourd’hui, LYAZIDI est entré dans la phase de transformation
numérique. Le centre de coût est ainsi devenu un centre de profit.
Le groupe d’assurances LYAZIDI comprend cinq sociétés qui sont
desservies depuis le même centre de systèmes d’information.
L’entreprise effectue en interne des audits de cybersécurité deux fois par
année, elle doit répondre aux exigences de qualité les plus strictes. Dans cette
optique, elle a fait appel à un cabinet de conseil externe pour procéder à l’audit.
Ce processus a permis d’identifier des vulnérabilités mineures, ce qui a incité à
mettre en place des solutions beaucoup plus avancées. A la faveur de ces audits
réguliers, l’entreprise procède à la vérification des mots de passe : changements
fréquents, robustesse, hiérarchisation (les mots de passe des développeurs n’est
pas le même que celui des utilisateurs), etc…
Chaque poste de travail est régulièrement scanné de façon à vérifier que
les antivirus ont bien été mis à jour. Un relevé des attaques est effectué et fait
l’objet d’un suivi. Les collaborateurs nomades doivent accéder au système
d’information de l’entreprise au moyen d’un réseau virtuel privé, Quand un
nouveau virus est annoncé sur Internet, les responsables de la sécurité chez
LYAZIDI procèdent immédiatement aux mises à jour recommandées. Un service
critique a déjà fait l’objet d’un «back-up» avec Plan De Continuité D'activité
(PCA) complet. Il est prévu que l’ensemble du système d’information sera
dédoublé géographiquement d’ici deux ans.

35
 LYAZIDI est engagé dans une logique de transformation numérique et
d’ouverture vers l’extérieur, ce qui entraîne une mobilité accrue des agents.
Ceux-ci doivent pouvoir se connecter par systèmes de l’entreprise depuis les
bureaux de leurs clients. Il a fallu développer des applications mobiles en tenant
compte de toute une série de menaces nouvelles42.

42 Livre Blanc, ibid, P48.

36
 Bibliographie :
Les Ouvrages :
• KAWTAR TALI, Cybersécurité : Le Maroc renforce son arsenal juridique 20 AOÛT
2021aujourd'hui le Maroc.
• ALI BOUGRINE ET MYRIAM SLAOUI-MARLAIX, UGGC AFRICA, Les services de confiance
pour les transactions électroniques.
• Ali El Azzouzi, Président-Directeur Général, Dataprotect, Livre Blanc : les
enjeux de la cybersecurité au Maroc.
• Livre Blanc, Les enjeux de la cybersécurité au Maroc, bibliothèque nationale du
Royaume du Maroc, juin [Link]
• Mouhir, Mme Mokhtar auditeurs de la 4ème promotion MSIE de l'EGE le 8 février 2023
(EGE) ÉCOLE DE GUERRE ÉCONOMIQUE

Les Lois :
• Dahir n° 1-13-46 du 1er joumada I 1434 (13 mars 2013) portant promulgation de la loi
n° 75-12 portant approbation de la Convention arabe pour la lutte contre les crimes
liés aux technologies de l'information et de la communication (TIC), faite au Caire le 21
décembre 2010.

• Loi n° 53-05 relative à l'échange électronique de données juridiques. Chapitre

préliminaire Article premier.
• LOI N°31-08 EDICTANT DES MESURES DE PROTECTION DU CONSOMMATEUR
PREAMBULE
• Loi n°24-96 relative à la poste et aux télécommunications, telle qu’elle a été modifiée
et complétée
• DÉCRET N° 2-21-406 DU 4 HIJA 1442 (15 JUILLET 2021) PRIS POUR L'APPLICATION DE
LA LOI N° 05-20 RELATIVE À LA CYBERSÉCURITÉ

• STRATEGIE NATIONALE EN MATIERE DE CYBERSECURITE.

• La Convention de Budapest sur la cybercriminalité a 20 ans ParHoward Solomon.
• Instrument Juridique de l’Union Africaine.
• Note De Présentation De La Directive Nationale De La Sécurité Des Si.
• Note de présentation relative à la loi 05-20 sur la cybersecurité
• La mise en conformité à la loi 09-08 : Une voie incontournable face à l’arsenal répressif
WASSIM BENZARTI Avocat au barreau de Paris

Les Sites Web :

• Le site : [Link]
de-cybersecurite
• Le site : [Link]
des-systemes-dinformation-dnssi
• Le site : [Link]
des-systemes-dinformation
• [Link]

37
 • Le site : [Link]
• Le site : [Link]
• Le site: [Link]
cybernetiques-majeurs
• [Link]/fr/[Link].
• [Link].
• Karim Er-Raihani, "La cybersécurité au Maroc: Enjeux et défis"(2023), au site:
[Link]
avanc%C3%A9es-et-solutions-55-brains-nez1e.
• [Link]
• [Link]
• [Link]
avanc%C3%A9es .
‫ منشور بموقع‬،2021 ‫ يوليوز‬،"‫ الواقع والتحديات‬...‫ "األمن السيبراني بالمغرب‬،‫يونس مليح‬ •
[Link]

Les Thèses :
• FARIH OMAR, Mémoire master cadre conceptuel et théorique de la cybercriminalité.
• Cybersecurité en entreprise « Guide de bonnes pratiques ».

38
 Table de matière :

Introduction : ...................................................................... 2

CHAPITRE I : LE CADRE JURIDIQUE ET REGLEMENTAIRE DE LA

CYBERCRIMINALITE ............................................................. 5
Section 1 : Cadre Juridique International et National ............................................................ 5

Section 2 : Stratégie Et Directive Nationale En Matière De Cybersécurité Et De La Sécurité

Des Systèmes D'information ................................................................................................ 10

Chapitre II : Le Rôle Des Instances De Gouvernance Enjeux Et

Défis .................................................................................. 15
Section 1 : Instances De Gouvernance De La Cybersecurité et Acteurs Du Cyberdéfense Au
Maroc .................................................................................................................................... 15

Section 2 : Etat Des Lieux Et Les Enjeux Et Défis Des Instances De Gouvernance De
Cybersécurité ........................................................................................................................ 24

Conclusion : ....................................................................... 31

Annexe : ............................................................................ 33

Bibliographie : ................................................................... 37

Table de matière :.............................................................. 39

39