La loi relative à la cybersécurité, publiée le 6 août, est passée presque inaperçue. Pourtant, elle met fin à un vide juridique et offre une meilleure visibilité aux opérateurs.

Enfin, la loi régissant la sécurité informatique a été récemment publiée, le 6 août 2020. La crise sanitaire actuelle a certainement été un accélérateur car elle a boosté les services et les échanges. D’où le besoin urgent d’encadrer les risques inhérents à ce mode de communication qui a révolutionné le monde au cours des dernières décennies.

En effet, la digitalisation est devenue un processus incontournable dans presque tous les domaines. Et la loi relative à la cybersécurité, récemment publiée, est venue mettre fin à un vide juridique. Cette loi est un outil pour faire face à la cybercriminalité. Elle définit clairement le champ d’application et en clarifie le mode de gouvernance de la sécurité informatique exercée par l’Etat.

Lire aussi | MAO Jun :« Le Maroc et la Chine explorent de nouvelles pistes de coopération dans le domaine de la santé »

Les concepts clés sont rigoureusement définis : cybersécurité, cybercriminalité, cybermenace, cyberéthique, système d’information (…). Une « autorité nationale de cybersécurité » (ANC) est appelée à développer l’expertise nationale, à sensibiliser les entités concernées dans le domaine de la sécurité informatique et renforcer la coopération dans ce domaine avec les organismes nationaux et étrangers. L’ANC édicte des directives, règles, règlements et référentiels ou recommandations, auxquels doivent se conformer les entités concernées du secteur privé ou public. Ces dernières ont l’obligation d’identifier les risques et de mettre en place les mesures préventives nécessaires. L’audit préalable et régulier des systèmes d’information devient une obligation.

Des amende pouvant atteindre 400.000 DH

Dans chaque entité, un responsable de la sécurité des systèmes d’information, jouissant de l’indépendance, interlocuteur unique de l’ANC, doit être nommé. Un dispositif particulier est prévu dans la loi pour les « infrastructures d’importance vitale » disposant de systèmes d’information sensibles. La liste des secteurs dits d’importance vitale devra être fixée par voie réglementaire. Cette liste devra être tenue secrète et actualisée au moins tous les deux ans. Pour les systèmes d’information sensibles, un guide d’homologation de leur sécurité par l’ANC devra être fixé. L’encadrement juridique s’étend à tous les opérateurs qui doivent respecter les directives émanant de cette instance.
En matière de gouvernance de la cybersécurité, un comité stratégique est prévu par la loi, chargé d’élaborer les orientations stratégiques de l’Etat, en matière de sécurité informatique et d’évaluer annuellement le bilan d’activité de l’ANC.

Lire aussi | Pourquoi les Marocains se tournent de plus en plus vers le Canada ?

En cas d’infraction, l’ANC est habilitée à établir des procès-verbaux de constatation et les transmettre au ministère public. Nonobstant les sanctions pénales prévues, des amendes de 100.000 à 400.000 dirhams sont applicables au titre des infractions constatées, telles que définies par la loi.