Le récent décret relatif à l’utilisation des services Cloud par les infrastructures et instances d’importance vitale a enfin été publié dans le Bulletin officiel. Ce texte découle de l’article 25 de la loi 05-20 sur la cyber-sécurité, qui impose aux responsables de ces infrastructures de se doter de solutions renforçant la sécurité, selon les critères définis par l’autorité nationale compétente.

Ce décret établit une nouvelle réglementation concernant le recours aux prestataires de services Cloud par ces entités. Un délai de 24 mois, à compter de la publication de la décision associée, a été accordé pour que ces infrastructures se conforment aux exigences légales. Cette décision, définie par le ministère en charge de l’Administration de la défense nationale, précisera les conditions de qualification des prestataires.

Le texte distingue deux niveaux d’intervention. Le premier concerne l’hébergement, la gestion ou l’exploitation des données sensibles, de manière totale ou partielle. Le second concerne spécifiquement le traitement et le stockage des données sensibles, de façon totale ou partielle.

Lire aussi | Oracle, Amazon Web Services, OVH Cloud. Ces géants technologiques qui investissent au Maroc

En ce qui concerne les prestataires de services Cloud, trois grandes catégories sont identifiées. La première, Infrastructure as a Service (IaaS), couvre les services liés aux serveurs, aux réseaux de stockage et aux systèmes d’exploitation à la demande. La deuxième, Platform as a Service (PaaS), permet l’accès à des plateformes d’hébergement. La troisième, Software as a Service (SaaS), offre l’utilisation de logiciels hébergés sur des plateformes Cloud.

Pour être qualifié, un prestataire doit répondre à plusieurs critères. Pour le premier niveau, l’entité doit être une société régie par le droit marocain, disposant des ressources et de l’expertise nécessaires pour fournir des services Cloud. Elle doit également posséder une plateforme technique apte à gérer ces services. De plus, les données et systèmes d’information doivent impérativement être hébergés sur le territoire national.

Lire aussi | La 5G arrive au Maroc !

La mise en place de cette régulation prévoit également la publication, au Bulletin officiel, d’une liste des prestataires qualifiés. Cependant, dans une phase transitoire définie par l’article 17, les infrastructures vitales pourront avoir recours à des prestataires non qualifiés si aucun autre prestataire qualifié ne propose les services requis. Dans ce cas, une évaluation des risques et des impacts sur la sécurité et la confidentialité des données devra être réalisée par les responsables de ces infrastructures.

Ce décret s’inscrit donc pleinement dans la continuité de la loi sur la cyber-sécurité, visant à renforcer la sécurité des systèmes d’information et des données sensibles au sein des infrastructures d’importance vitale.