Suite à la cyberattaque spectaculaire contre la CNSS survenue le 8 avril 2025, le sujet de la cybersécurité revient en force dans l’actualité nationale. Karim Zaitouni revient pour nous sur les leçons à tirer de cet incident, les failles systémiques observées, et les solutions pour renforcer la résilience numérique du Royaume. Détails.
Challenge : Pouvez-vous nous expliquer ce qui a pu se passer techniquement lors de l’attaque contre la CNSS ?
Karim Zaitouni : Le 8 avril 2025, la Caisse nationale de sécurité sociale (CNSS) du Maroc a été victime d’une cyberattaque majeure. Des hackers ont diffusé des fichiers sensibles. Les données divulguées concernent près de deux millions de salariés et environ 500 000 entreprises : attestations de salariés déclarés, informations sur les entreprises affiliées, numéros d’immatriculation CNSS, noms, prénoms, jours travaillés et salaires déclarés. Cette fuite a provoqué des tensions importantes, notamment du fait de la divulgation des salaires, suscitant de vives réactions parmi les employés.
D’un point de vue technique, l’attaque semble être le fruit d’une intrusion avancée suivie d’une exfiltration massive de données. Elle laisse penser à une compromission de l’infrastructure interne de la CNSS, probablement via une vulnérabilité non corrigée ou une faille d’authentification. Une fois le point d’entrée identifié, les assaillants ont pu parcourir le réseau pour en extraire des volumes importants de données. Le caractère revendiqué de l’attaque suggère qu’il s’agissait d’une opération ciblée, à la fois symbolique et stratégique.
Lire aussi | Al Barid Bank s’allie à PayTic pour accélérer la digitalisation de ses services monétiques
Challenge : Quelles sont, selon vous, les mesures prioritaires que les entreprises et administrations marocaines doivent mettre en place pour sécuriser leurs données ?
K.Z : La première priorité pour les entreprises et les administrations est la mise à niveau de leurs systèmes d’information, notamment par la correction immédiate des vulnérabilités connues et la restriction des accès aux interfaces sensibles. Il est ensuite crucial d’instaurer des politiques rigoureuses de gestion des identités et des accès, afin de limiter les points d’entrée pour les attaquants. La cybersécurité moderne ne peut plus se reposer sur des antivirus classiques ; elle nécessite des dispositifs de surveillance comportementale tels que les solutions EDR ou XDR, accompagnés d’audits réguliers et d’une cellule de réponse aux incidents active et bien formée. La sensibilisation des équipes reste enfin un levier central, car de nombreuses attaques réussissent encore à cause d’un simple clic sur un e-mail frauduleux. Former les utilisateurs à détecter les comportements anormaux devient aussi essentiel que les dispositifs techniques de protection.
Challenge : Que recommandez-vous pour renforcer la souveraineté numérique du pays ? Doit-on développer des infrastructures locales ou renforcer la réglementation ?
K.Z : Il ne s’agit pas de choisir entre infrastructures locales et réglementation : les deux sont indispensables. La souveraineté numérique ne se décrète pas, elle se construit pas à pas. Cela passe d’abord par le développement d’infrastructures locales robustes — cloud souverain, hébergements certifiés, réseaux de confiance — afin de garantir que les données critiques du pays ne soient pas soumises à des juridictions étrangères. En parallèle, un cadre réglementaire plus strict est nécessaire, avec des lois renforcées sur l’hébergement, la sécurité des données, et l’obligation de déclaration en cas d’incident. Mais cela ne suffira pas sans l’investissement dans le capital humain : former des talents marocains en cybersécurité, soutenir les startups innovantes et promouvoir des solutions « Made in Morocco » sont des conditions essentielles. Il ne faut pas espérer défendre la souveraineté numérique avec du code acheté à l’étranger.
Lire aussi | Digital & TIC au Maroc. Quelques chiffres clés
Challenge : Quelles sont les erreurs récurrentes que vous observez dans la gestion de la sécurité informatique au sein des entreprises marocaines ?
K.Z : Trois erreurs reviennent régulièrement dans la gestion de la sécurité informatique au Maroc. La première est de considérer la cybersécurité comme un simple projet informatique ponctuel, alors qu’il s’agit d’un processus stratégique continu. La deuxième est la négligence des mises à jour de sécurité, ce qui ouvre la porte à des attaques basées sur des failles pourtant connues depuis longtemps. La troisième erreur est de ne pas tester les plans de réponse aux incidents : beaucoup d’organisations se retrouvent en situation de crise sans plan B ni procédures internes pour faire face. À cela s’ajoute un manque général de visibilité sur l’état réel de leur système d’information. Sans cartographie précise ni outils de supervision efficaces, il est difficile de protéger ce que l’on ne voit pas.
Challenge : Quels sont les pièges à éviter quand on met en place une politique de cybersécurité ?
K.Z : Le premier piège est de croire que la cybersécurité repose uniquement sur la technologie, alors que près de 80 % des incidents trouvent leur origine dans une faille humaine. Un autre écueil fréquent est d’imposer des règles de sécurité trop contraignantes, au point que les utilisateurs cherchent à les contourner. Une politique efficace est celle qui s’intègre naturellement dans les usages quotidiens. Enfin, beaucoup sous-estiment l’importance de la gouvernance : sans un engagement fort de la direction générale, sans budget alloué et sans indicateurs de suivi, la cybersécurité reste un simple document administratif, sans impact réel.
Challenge : Une entreprise privée touchée par un incident similaire peut-elle se relever facilement ? Quelles sont les étapes à suivre après une attaque ?
K.Z : Oui, une entreprise peut se relever après une cyberattaque, mais à condition d’avoir préparé cette éventualité en amont. Celles qui disposent de sauvegardes fiables, d’un plan de continuité d’activité et d’une équipe formée peuvent réagir rapidement, limiter les impacts et restaurer la confiance. La première étape consiste à isoler l’incident pour bloquer l’accès des attaquants. Il faut ensuite activer l’équipe de réponse à incident, qu’elle soit interne ou externe, afin de traiter la menace. Une communication claire doit être instaurée avec les collaborateurs, les clients et les autorités. L’analyse de la faille ayant permis l’intrusion, ainsi que la documentation précise des événements, permettent de comprendre et corriger les vulnérabilités. Enfin, il est essentiel de mettre en place des mesures correctives solides pour éviter qu’une telle situation ne se reproduise. Si ce processus est rigoureux, chaque crise peut devenir une opportunité de se renforcer et de bâtir une organisation plus résiliente. Gérer une crise de manière structurée permet aussi d’en sortir renforcé.
Son parcours
Karim Zaitouni, PDG de SisPay, est un leader visionnaire reconnu pour son expertise en entrepreneuriat, innovation et transactions électroniques. Titulaire d’un diplôme d’Ingénieur de l’Université Polytechnique en Europe et d’un MBA en gestion de l’innovation, il a su bâtir une carrière remarquable alliant technologie et stratégie d’affaires. À la tête de SisPay S.A., il pilote une entreprise internationale présente dans 36 pays africains, tout en dirigeant également OnePay S.A. au Maroc et SisPay Africa à Dubaï. Son engagement en faveur de l’innovation se traduit aussi par son implication dans des réseaux professionnels internationaux et son rôle actif dans la promotion des technologies numériques. Conférencier prisé et figure de proue de la fintech, Karim Zaitouni incarne un leadership audacieux et une vision globale au service des transactions électroniques de demain.
Son Actu
La CNSS a fait l’objet d’une série d’attaques cybernétiques divulguant les données de près de deux millions de salariés, ce qui a provoqué des tensions importantes.
