Avec seulement 10 000 experts en cybersécurité pour l’ensemble du continent africain, alors que les besoins sont estimés à plus de 200 000 d’ici 2030, le Maroc n’échappe pas à la pénurie. Dans un contexte où la menace numérique devient omniprésente, l’enjeu n’est plus seulement quantitatif, mais aussi stratégique. Karim Zaitouni, PDG de SisPay, nous livre quelques pistes d’action concrètes.

Il est clair que le Maroc, comme l’ensemble du continent africain, fait face à un déficit majeur de compétences en cybersécurité. Cependant, ce manque ne se résume pas à une simple question de nombre. « Le déficit de compétences en cybersécurité est réel, mais ce n’est pas seulement une question de volume. C’est surtout une question de diversité, de structuration et d’organisation des compétences», souligne Karim Zaitouni.

En effet, le tissu des talents en cybersécurité au Maroc se divise en deux catégories principales : d’une part, les autodidactes, appelés aussi « talents de terrain », et d’autre part, les diplômés issus de formations structurées.

Lire aussi | Cybersécurité. les entreprises marocaines sont-elles prêtes ?

Les premiers, souvent jeunes et passionnés, apprennent sur le tas, se forment entre pairs et développent une réactivité impressionnante. « Ils sont débrouillards, créatifs, réactifs », précise Zaitouni. Les seconds, quant à eux, sortent d’écoles d’ingénieurs ou d’universités et disposent d’une maîtrise solide des standards et des certifications. Toutefois, leur expérience de terrain peut parfois faire défaut.

Aussi, plutôt que d’opposer ces profils, il apparaît indispensable de miser sur leur complémentarité. « Le véritable levier, ce n’est pas de choisir entre les deux, mais de créer des équipes mixtes », insiste le dirigeant de SisPay.

Vers un modèle hybride

Ce modèle hybride repose sur une organisation méthodique, centrée sur des priorités bien définies : urgence, amélioration continue, prévention. Il implique également une articulation claire entre différentes expertises : intervention réseau, architecture applicative, gestion de crise. « Il faut des équipes infrastructure et télécommunication pour l’intervention réseau rapide, des architectes applicatifs pour bâtir du sécurisé dès la conception, et des managers aguerris à la gestion de crise », explique Zaitouni.

Ce modèle permet ainsi de répondre efficacement à la complexité croissante des attaques numériques. En combinant vitesse, rigueur et adaptabilité, il place la cybersécurité au cœur de la stratégie numérique du pays.

Toutefois, pour que cette transformation s’opère, une volonté politique et économique affirmée est nécessaire. Investir massivement dans la formation, encourager l’émergence d’écosystèmes mixtes et professionnaliser davantage le secteur deviennent des impératifs.

Lire aussi | Cybersécurité : l’AUSIM et PwC publient la deuxième édition de l’Ausimètre

En somme, si la pénurie de talents en cybersécurité représente un risque majeur pour la souveraineté numérique du Maroc, elle constitue également une formidable opportunité de refondation stratégique. Encore faut-il avoir le courage de structurer l’offre de compétences autour des réalités du terrain, et non des seules normes académiques. 

Pour Karim Zaitouni, la pénurie de talents en cybersécurité ne se réglera pas par des formations seules. Elle exige une vision systémique, une organisation hybride des équipes, une modernisation des outils via l’IA et l’automatisation, une stratégie nationale souveraine, et une acculturation massive de toute la société.

La cybersécurité, ce n’est plus un sujet de spécialistes. C’est la colonne vertébrale du futur numérique du Maroc.

3 questions A Karim Zaitouni / PDG de Sispay 

«Tous les métiers du numérique doivent intégrer la cybersécurité, pas seulement ceux qui s’y spécialisent »

Challenge : Les universités et écoles d’ingénieurs marocaines forment-elles suffisamment, et efficacement, dans les métiers de la cybersécurité ?
Karim Zaitouni : Les écoles marocaines commencent à intégrer la cybersécurité dans leurs cursus. Mais aujourd’hui, cela reste insuffisant face à l’ampleur du besoin. Plusieurs pistes d’amélioration existent, d’abord il est nécessaire d’inclure les certifications professionnelles reconnues internationalement dans les parcours étudiants.
Aussi, de simuler des environnements d’attaque réalistes (cyber ranges) pour entraîner les jeunes à détecter, contrer, remédier, d’impliquer les entreprises dès la formation, pour travailler sur des cas réels, encadrés par des experts.
Il faut également valoriser les filières professionnelles et techniciennes, souvent négligées, mais indispensables pour construire les couches techniques fondamentales de sécurité.
Enfin, il faut élargir la vision : tous les métiers du numérique doivent intégrer la cybersécurité, pas seulement ceux qui s’y spécialisent.

Challenge : Dans un contexte de souveraineté numérique, faut-il penser à créer une “cyberarmée” marocaine ou un centre national de réponse aux incidents majeurs ?
K.Z. : Absolument. Le Maroc doit se doter d’une entité nationale centralisée, réactive et souveraine. Cela peut être : un CERT national renforcé (Computer Emergency Response Team), déjà présent mais à développer fortement, ou une cyberarmée structurée, à l’image de ce qu’ont mis en place plusieurs puissances.
Cette structure doit être capable de surveiller le cyberespace national en temps réel, d’agir rapidement en cas d’incident majeur (attaque contre les banques, les systèmes de santé, l’administration…), de fédérer les efforts publics et privés, et de former, certifier et coordonner les équipes techniques.  Elle doit aussi disposer de moyens humains, techniques, juridiques et financiers conséquents. La souveraineté numérique ne se décrète pas. Elle se construit.

Challenge : Peut-on envisager que la cybersécurité devienne un pilier stratégique du développement économique et technologique du pays, au même titre que les énergies ou les infrastructures ?
K.Z. : Non seulement on peut, mais on doit. Une nation sans cybersécurité est une nation vulnérable. Une entreprise sans cybersécurité est une entreprise fragile. Un citoyen sans culture numérique est une cible.
La cybersécurité peut devenir un pôle d’emplois qualifiés (analystes, auditeurs, développeurs, intégrateurs, pentesters, formateurs…), un levier d’attractivité économique, pour les investisseurs internationaux soucieux de protéger leurs données, un secteur exportable, avec des technologies et savoir-faire marocains à destination des pays africains et arabes. Mais cela suppose aussi des investissements technologiques majeurs, notamment en outils d’automatisation et d’intelligence artificielle.
L’un des éléments clés pour faire face à la croissance des attaques, est de s’équiper d’outils qui décuplent l’efficacité des équipes. Ce ne sont pas des gadgets, mais des systèmes d’aide au diagnostic et à la réaction rapide.  Ces outils libèrent du temps humain, évitent la fatigue cognitive, automatisent les tâches répétitives et permettent de concentrer les experts sur l’analyse stratégique des vraies menaces.