Dans un geste majeur pour la protection de sa souveraineté numérique, le Maroc a franchi une étape décisive avec l’adoption d’un nouvel arrêté. Publié dans le Bulletin officiel n°7432 du 21 août 2025, ce texte législatif impose un référentiel d’exigences de qualification aux prestataires de services Cloud. Explications.
Dans un contexte marqué par la montée en puissance des enjeux de cybersécurité et de souveraineté numérique, le Maroc vient d’opérer un tournant stratégique. Publié au Bulletin officiel n°7432 en date du 21 août 2025, un nouvel arrêté impose désormais aux prestataires de services Cloud un référentiel de qualification strict.
Ce texte législatif, définit un ensemble d’exigences techniques et organisationnelles que tout fournisseur de services Cloud devra respecter pour opérer légalement sur le marché marocain. L’objectif affiché : garantir la protection des données sensibles des citoyens, des entreprises et des administrations publiques, tout en réduisant la dépendance vis-à-vis d’acteurs étrangers.
Lire aussi | Le Maroc se dirige vers le développement d’une plateforme nationale de l’IA responsable
À travers ce dispositif, le Maroc entend poser les bases d’un écosystème numérique souverain, capable de concilier innovation et sécurité. Les prestataires devront désormais démontrer leur conformité à des standards précis en matière de confidentialité, de disponibilité, de traçabilité et de localisation des données.
Pour Yassine Maleh, Expert reconnu et Professeur en cybersécurité et gouvernance, «L’adoption de ce référentiel est bien plus qu’une simple mise à jour réglementaire ; c’est un acte fondateur qui marque un tournant décisif pour la souveraineté numérique du Maroc. Ce texte signale une maturité stratégique et une volonté claire de reprendre le contrôle sur l’un des actifs les plus précieux du 21e siècle : la donnée.»
L’expert rappelle qu’auparavant, le Cloud était principalement choisi pour sa flexibilité, souvent auprès d’acteurs internationaux, sans cadre normatif national. Ce référentiel change radicalement la donne pour plusieurs raisons, explique l’Expert.
D’abord, une affirmation de la souveraineté numérique. En effet, en imposant un cadre de qualification strict, le Maroc ne se contente plus de consommer des services Cloud, il en définit les règles du jeu sur son territoire. L’exigence de localisation des données sensibles et des infrastructures critiques sur le sol marocain (notamment pour le niveau 2) est une déclaration forte : les données stratégiques de la nation doivent rester sous juridiction marocaine, à l’abri des lois extraterritoriales comme le CLOUD Act américain.
Lire aussi | Le général de brigade Abdellah Boutrig nommé à la tête de la DGSSI
En deuxième lieu, la création d’un écosystème de confiance dans le sens où ce référentiel vise à établir un label de confiance. Pour les entités publiques et les infrastructures d’importance vitale (IIV), il ne sera plus possible de choisir un prestataire sur la seule base de sa renommée internationale. Ils devront obligatoirement sélectionner des prestataires qualifiés, garantissant ainsi un niveau de sécurité et de conformité homogène et élevé pour les services les plus critiques.
Et enfin, la structuration du marché local puisque le texte agit comme un catalyseur pour le marché marocain. Il pousse les acteurs locaux à monter en gamme et à investir dans des infrastructures et des compétences de pointe pour obtenir la qualification. Cela va stimuler la création d’un écosystème national robuste, avec des datacenters locaux, des experts en cybersécurité et des services à forte valeur ajoutée.
«En somme, le Maroc passe d’une posture de client à celle d’architecte de son paysage numérique. C’est un changement de paradigme qui privilégie la sécurité, la résilience et l’autonomie stratégique», conclut Maleh.
Des défis techniques et organisationnels
Mais cette évolution ne sera pas sans efforts pour les prestataires locaux. Selon Maleh, «La mise en conformité avec ce référentiel représente un défi considérable mais nécessaire. Les exigences sont élevées et couvrent l’ensemble du spectre de la sécurité. »
Lire aussi | Oracle inaugure à Casablanca un centre de R&D dédié au cloud et à l’intelligence artificielle
En effet, si cette réforme ouvre la voie à un marché plus sûr et transparent, elle soulève également des défis. Les acteurs locaux devront renforcer leurs infrastructures et compétences pour répondre à ces nouvelles exigences, tandis que les opérateurs internationaux devront adapter leurs offres au cadre réglementaire marocain.
Avec ce pas décisif, le Maroc s’aligne sur les meilleures pratiques internationales et envoie un signal fort : la souveraineté numérique n’est plus une option, mais un impératif stratégique pour accompagner la transformation digitale du pays.
D’ailleurs, parmi les défis techniques, on retrouve la construction de datacenters aux normes internationales (sécurité physique, redondance, contrôle d’accès biométrique), la mise en place de solutions avancées de chiffrement et de gestion de clés (BYOK, HYOK), l’isolation stricte des environnements multi-tenant, ou encore l’implémentation de plateformes de détection et de réponse aux incidents en temps réel.
Les défis organisationnels sont tout aussi lourds : mise en place d’une gouvernance solide avec un RSSI, renforcement des procédures de contrôle des ressources humaines, audits réguliers par des tiers qualifiés, et responsabilisation vis-à-vis de l’ensemble des sous-traitants et partenaires.
Une attractivité renforcée
Loin de freiner les investissements, ce nouveau cadre pourrait au contraire attirer les géants internationaux du Cloud. «Cette mesure, loin d’être un frein, pourrait paradoxalement renforcer l’attractivité du Maroc pour les géants internationaux du Cloud (comme AWS, Microsoft Azure, Google Cloud), mais en redéfinissant les termes de leur présence», explique Maleh.
Lire aussi | Oracle, Amazon Web Services, OVH Cloud. Ces géants technologiques qui investissent au Maroc
Les grands acteurs seront incités à investir dans des infrastructures locales, à nouer des partenariats stratégiques avec des entreprises marocaines, et à créer des offres souveraines adaptées aux besoins critiques. Ce cadre exigeant pourrait également positionner le Maroc comme un hub numérique régional de confiance, capable d’attirer les entreprises africaines soucieuses de protéger leurs données sensibles.
Avec ce référentiel, le Maroc affirme sa volonté d’accompagner sa transformation digitale par une stratégie de cybersécurité ambitieuse et structurante. Au-delà des contraintes techniques, il s’agit d’un message clair : la souveraineté numérique n’est plus un choix, mais un impératif stratégique.
Avis d’expert // Yassine Maleh,Expert et Professeur en cybersécurité et gouvernance
Challenge : Quels sont les principaux défis techniques et organisationnels que devront relever les prestataires locaux pour se conformer à cette nouvelle réglementation ?
Yassine Maleh : La mise en conformité avec ce référentiel représente un défi considérable mais nécessaire pour les prestataires locaux. Les exigences sont élevées et couvrent l’ensemble du spectre de la sécurité.
Défis Techniques :
Sécurité physique et environnementale : La construction et la gestion de datacenters répondant aux normes les plus strictes (contrôle d’accès biométrique, surveillance continue, protection incendie, redondance électrique) représentent un investissement colossal. La simple colocation ne suffit plus ; il faut maîtriser toute la chaîne.
Cryptographie et gestion des clés : Le référentiel impose des exigences pointues sur le chiffrement des données, que ce soit en transit ou au repos. Pour les services de niveau 2, les clés de chiffrement doivent rester sous le contrôle exclusif du client, ce qui demande des architectures complexes de type «Bring Your Own Key» (BYOK) ou «Hold Your Own Key» (HYOK).
Cloisonnement et isolation : La séparation stricte des environnements (production, test, développement) et des données des différents clients («tenants») est un défi majeur, surtout dans les architectures partagées (multi-tenant). Cela requiert une expertise avancée en virtualisation et en micro-segmentation réseau pour éviter toute fuite ou contamination croisée.
Journalisation et détection d’incidents : Mettre en place une infrastructure capable de collecter, corréler et analyser les journaux d’événements en temps réel sur de longues périodes (jusqu’à 12 mois de rétention) demande des capacités de stockage et de calcul importantes (solutions de type SIEM).
Défis Organisationnels :
Gouvernance de la sécurité : Les prestataires doivent formaliser leur politique de sécurité, la faire approuver par leur direction, et la réviser annuellement. Cela implique la création de rôles dédiés, comme le Responsable de la Sécurité des Systèmes d’Information (RSSI), et la mise en place d’une véritable culture de la sécurité à tous les niveaux.
Gestion des ressources humaines : Le référentiel impose des vérifications approfondies des antécédents du personnel ayant des accès à privilèges. Il faut également investir massivement dans la formation continue et la sensibilisation des équipes pour faire face à l’évolution constante des menaces.
Conformité et audit : Les prestataires devront se soumettre à des audits réguliers par des tiers qualifiés (PASSI) pour obtenir et maintenir leur qualification. Cela exige une documentation exhaustive de toutes les procédures et une rigueur opérationnelle sans faille.
Gestion des tiers : La responsabilité du prestataire s’étend à ses propres sous-traitants. Il devra donc auditer et imposer contractuellement ses exigences de sécurité à l’ensemble de sa chaîne d’approvisionnement, ce qui complexifie la gestion des contrats et des partenariats.
Challenge : Comment cette mesure pourrait-elle influencer l’attractivité du marché marocain vis-à-vis des grands acteurs internationaux du Cloud ?
Y.M. : Cette mesure, loin d’être un frein, pourrait paradoxalement renforcer l’attractivité du Maroc pour les géants internationaux du Cloud (comme AWS, Microsoft Azure, Google Cloud), mais en redéfinissant les termes de leur présence.
Incitation à l’investissement local : Pour servir les clients marocains les plus stratégiques (gouvernement, banques, opérateurs d’infrastructures critiques), les grands acteurs internationaux n’auront d’autre choix que d’investir dans des infrastructures locales. Ils devront construire des «régions Cloud» sur le territoire marocain pour se conformer aux exigences de localisation des données et obtenir la qualification. Cela représente un afflux massif d’investissements directs étrangers.
Création d’un marché à deux vitesses : On pourrait voir émerger un marché dual. D’un côté, une offre «souveraine» et qualifiée, hébergée localement par des acteurs locaux ou internationaux ayant investi au Maroc, pour les clients à données sensibles. De l’autre, les offres Cloud classiques, hébergées à l’étranger, qui resteront pertinentes pour les entreprises moins critiques (start-ups, PME, etc.) dont les besoins en souveraineté sont moindres.
Partenariats stratégiques : Les acteurs internationaux pourraient être incités à nouer des partenariats avec des entreprises marocaines déjà établies. Ces dernières apporteraient leur connaissance du marché local et leur infrastructure existante, tandis que les géants du Cloud fourniraient leur technologie de pointe et leur expertise globale. Cela créerait des synergies bénéfiques pour tout l’écosystème.
Positionnement du Maroc comme hub numérique régional : En se dotant d’un cadre réglementaire clair et exigeant, inspiré des meilleures pratiques internationales, le Maroc se positionne comme un leader de la confiance numérique en Afrique. Il peut devenir une «terre d’accueil» privilégiée pour les entreprises africaines soucieuses de la sécurité de leurs données, renforçant ainsi son rôle de hub technologique et numérique pour le continent.
