Expert reconnu, Professeur en cybersécurité et gouvernance, Yassine Maleh décrypte les avancées du Maroc et les efforts encore nécessaires pour garantir la sécurité numérique de ses infrastructures critiques.
Challenge : Les infrastructures critiques marocaines disposent-elles aujourd’hui de mécanismes de protection à la hauteur des risques ?
Yassine Maleh : Le Maroc a fait des progrès significatifs pour protéger ses infrastructures critiques, comme en témoigne sa position au Global Cybersecurity Index 2024 (score de 97,5/100, Tier 1, avec des notes maximales en mesures juridiques, réglementaires et de coopération). Cependant, les incidents enregistrés révèlent des limites persistantes.
La stratégie nationale, structurée autour de cinq piliers – gouvernance et gestion des crises cyber, formation et développement des compétences, recherche en cybersécurité, sensibilisation et prévention, protection des données personnelles – offre un cadre robuste. La loi n° 20-05 et le décret n° 406-21-2 obligent les IIV à déclarer leurs systèmes sensibles (catégories A et B) et à les auditer via des prestataires qualifiés par la DGSSI. Le maCERT et les centres de sécurité opérationnels (SOC) renforcent la réponse aux incidents, tandis que la DGSSI supervise la conformité.
Malgré ces efforts, l’hétérogénéité persiste. Le secteur financier progresse, mais des domaines comme les télécoms ou les réseaux d’eau accusent du retard dans la surveillance en temps réel et la résilience post-attaque. Avec 34 855 OAS et 8 928 intrusions détectées aujourd’hui, la capacité à anticiper les crises reste limitée. La qualification des auditeurs et l’adoption de normes internationales, bien que progressant (score de 19,38/20 en renforcement des capacités), ne sont pas encore généralisées. La coordination entre agences de renseignement, DGSSI et secteur privé doit s’intensifier. L’objectif est de bâtir un écosystème cohérent, réactif et résilient, aligné sur les 23 initiatives et 85 actions de la stratégie. Si le Maroc excelle juridiquement, la mise en œuvre technique et opérationnelle doit rattraper son ambition pour faire face à des menaces croissantes.
Lire aussi | Cybersécurité au Maroc. Une pénurie d’experts alarmante
Challenge : Le Maroc est-il suffisamment préparé face à une cyberattaque de grande ampleur ? Ou sommes-nous encore dans une logique de réaction plus que de prévention ?
Y. M. : Face à une cyberattaque de grande ampleur, le Maroc montre une prise de conscience et des avancées, mais sa préparation reste davantage réactive que préventive.
La stratégie nationale, avec ses quatre piliers – gouvernance, renforcement des capacités, recherche, et coopération internationale – repose sur 13 objectifs, 23 initiatives et 85 actions. Le score GCI 2024 (97,5/100, +15 points depuis 2020) reflète des avancées en formation (cursus universitaires, certifications), coopération (forums internationaux), et gouvernance (Comité Stratégique, DGSSI). En 2023, le blocage de 52 millions de menaces montre une capacité de réaction. Cependant, la détection proactive et la réponse rapide peinent à suivre. Avec 58 % d’incidents en plus selon Allianz et une carte en temps réel montrant 34 855 OAS aujourd’hui, les mécanismes de recueil de données et de simulation (cyber drills) restent sous-développés. Les capacités techniques (18,12/20) et la gestion des crises nécessitent des SOC sectoriels plus robustes et une anticipation accrue. Passer à une logique préventive exige des investissements dans la formation (vivier d’experts), la recherche (R&D en cybersécurité), et la coopération bilatérale pour échanger sur les menaces. La résilience des IIV, clé de la souveraineté nationale, dépendra de cette transition, comme le souligne l’analyse d’impact des incidents prévue par la loi.
La cybersécurité étant un processus continu, le Maroc doit anticiper les cyberguerres via des simulations, des audits systématiques et une mobilisation nationale. Son statut de leader régional (5e pays arabe) est un atout, mais la prévention doit devenir prioritaire pour sécuriser un cyberespace stable.
