À l’heure où le Maroc enregistre des dizaines de millions de tentatives d’attaques numériques par an, la sécurité informatique des institutions publiques et privées devient un enjeu stratégique majeur. Malgré un cadre national en constante amélioration, les menaces persistent, plus sophistiquées, plus ciblées, et parfois plus destructrices. Décryptage.
En quelques années, le Maroc est passé du statut de pays en développement numérique à celui de cible stratégique pour les cybercriminels. La modernisation accélérée de ses services publics et financiers, bien qu’indispensable à son développement, n’a pas toujours intégré en parallèle un renforcement de la cybersécurité.
Plusieurs établissements opérant des infrastructures d’importance vitale (bases de données sociales, systèmes de paiement, etc.) ont vu leurs systèmes compromis ou menacés. Ces événements soulignent une réalité partagée à l’échelle mondiale : aucune organisation, aussi critique soit-elle, n’est à l’abri d’une cyberattaque.
Lire aussi | Cybersécurité : l’AUSIM et PwC publient la deuxième édition de l’Ausimètre
Comme le souligne Yassine Maleh, Professeur en cybersécurité et gouvernance, Fondateur de IEEE Consultants Morocco et Président du Centre africain de recherche en technologies de l’information et la cybersécurité : « Aucune organisation, aussi critique soit-elle, n’est à l’abri dans un contexte mondial marqué par une cyberguerre constante. Le Maroc a connu une transformation numérique rapide, mais sans toujours intégrer la cybersécurité dès la conception (security by design). »
Les attaques ne ciblent plus seulement les infrastructures informatiques : elles exploitent également les comportements humains, les processus défaillants, et les mauvaises configurations. Dans ce contexte, Mohammed Ramy, Directeur Général de Riskilience, précise : « Derrière toute cyberattaque, il y a une motivation et un objectif visé : délinquance, vengeance, terrorisme, réputation, cyberguerre, profit financier, etc. Chaque institution détenant un actif informationnel attractif est une tentation pour les hackers. »
Le facteur humain, talon d’Achille de la sécurité numérique
Les chiffres sont alarmants. En 2024, plus de 6,4 millions de tentatives de phishing ont été bloquées au Maroc, soit une hausse de 3,23% par rapport à l’année précédente. Les courriels malveillants, les pièces jointes infectées, ou les liens frauduleux font toujours mouche, notamment durant les périodes de vacances.
Les campagnes de phishing touchent tous les secteurs, y compris l’université, les médias et les télécoms. En 2020, une attaque ciblant les secteurs académique et médiatique avait été attribuée à un groupe interne, illustrant à quel point les failles humaines sont critiques.
Lire aussi | Cybersécurité au Maroc : lecture analytique d’une séquence inédite
Yassine Maleh le confirme « malgré la stratégie nationale et les efforts de sensibilisation, les comportements à risque perdurent. Le phishing reste une porte d’entrée majeure ».
Outre les faiblesses humaines, les cybercriminels exploitent également des déficiences dans la gouvernance, la coordination et la surveillance des infrastructures critiques. Selon Interpol, le Maroc est le pays africain le plus visé par les attaques bancaires. En 2024, les tentatives de phishing financier ont bondi de 32 %, et les attaques contre les banques ont explosé de 210 %.
En parallèle, les secteurs industriels sont également exposés : 40,39% des ordinateurs de systèmes de contrôle industriel (ICS) ont été ciblés par des logiciels malveillants au premier semestre 2024. Le groupe STORMOUS, par exemple, a réussi à vendre un accès VPN non autorisé à un opérateur télécom marocain, illustrant la fragilité des mécanismes de contrôle d’accès.
Selon Mohammed Ramy « ce ne sont pas les outils techniques qui nous manquent – ce sont des boîtes noires que tout le monde achète – mais la maturité en termes de process, de discipline et de sensibilisation ».
Sur le plan institutionnel, le Maroc s’est doté d’un arsenal réglementaire et stratégique robuste. La Stratégie nationale de cybersécurité, adossée à la loi 05-20 et à plusieurs décrets, oblige les infrastructures critiques à déclarer leurs systèmes sensibles et à les faire auditer.
Des dispositifs comme maCERT, les Security Operation Centers (SOC), et la DGSSI ont renforcé la capacité de réponse aux incidents. Le pays affiche une performance solide dans les classements internationaux : 97,5/100 au Global Cybersecurity Index 2024, avec des notes maximales en cadre juridique, coopération et renforcement des capacités.
Pourtant, des écarts subsistent entre les ambitions réglementaires et leur mise en œuvre. Yassine Maleh nuance les avancées : « Le Maroc a fait des progrès significatifs pour protéger ses infrastructures critiques, comme en témoigne sa position au Global Cybersecurity Index 2024 (score de 97,5/100, Tier 1, avec des notes maximales en mesures juridiques, réglementaires et de coopération). Cependant, l’incident CNSS révèle des limites persistantes ».
Et d’ajouter « Malgré ces efforts, l’hétérogénéité persiste. Le secteur financier progresse, mais des domaines comme les télécoms ou les réseaux d’eau accusent du retard dans la surveillance en temps réel et la résilience post-attaque. »
Si le Maroc a bien conscience des enjeux, il reste largement dans une logique de réaction plutôt que de prévention. L’analyse d’impact, les exercices de simulation, la qualification des auditeurs ou la généralisation des normes internationales sont encore inégalement appliqués.
Mohammed Ramy alerte « Le grand défi réside dans le mindset des décideurs. Il faut sortir de l’idée que la cybersécurité est un simple sous-ensemble de la DSI. Les vecteurs d’attaque évoluent à une vitesse bien plus rapide que nos schémas d’adaptation. »
Pour Yassine Maleh « Face à une cyberattaque de grande ampleur, le Maroc montre une prise de conscience et des avancées, mais sa préparation reste davantage réactive que préventive, comme l’illustre l’incident CNSS. »
Il poursuit « La prise de conscience est réelle, mais notre posture reste encore trop réactive. Il faut investir davantage dans la formation, la recherche, la coopération bilatérale et les simulations de crise. Le Maroc doit transformer ses ambitions en capacités concrètes pour garantir une véritable cyber-résilience. »
Prévention sur mesure
Le Maroc comme tous les pays du monde sont dans la prévention «sur mesure», tant que ça marche , tant que je n’ai pas eu d’incidents perturbateurs on investit selon une analyse de risques se basant sur des hypothéses plus ou moins optimistes. C’est une réflexion logique mais aujourd’hui, les institutions marocaines doivent se dire que la probabilité d’occurrence des incidents cyber a augmenté donc j’augmente la garde. Plus que ça, personne n’est en mesure de prédire le futur mais la tendance menaces est là !
Quelques soient les mesures de prévention que vous mettez en place soyez prêts à la réaction , à la réponse aux incidents, je veux dire avoir un plan B voir C (Plan de Continuité d’Activité / Plan de Secours Informatique).
