La cyberattaque de la CNSS : une première au Maroc
Le mardi 8 avril 2025, la Caisse nationale de la sécurité sociale (CNSS) a été victime d’une cyberattaque sans précédent, marquant ainsi un tournant dans l’histoire des attaques informatiques au Maroc. Cet organisme public, placé sous la tutelle du ministère de l’Économie et des Finances depuis 2021, a été la cible de hackers qui ont réussi à dérober 54 000 fichiers au format PDF, contenant des données sensibles concernant environ 500 000 entreprises et 2 millions de personnes.
«La symbolique» du choix de la cible
Selon Imad Elbaraka, managing partner chez Deloitte France, Europe continentale et Afrique francophone, et président du Deloitte Morocco Cyber Center, l’attaque contre la CNSS revêt une importance symbolique. En effet, toucher une institution du filet social est un signal fort de la gravité de la situation. Cette attaque s’inscrit dans une tendance mondiale où les organismes publics deviennent des cibles privilégiées pour les hackers, comme en témoignent des incidents similaires aux États-Unis et en France.
Imad Elbaraka souligne également que ces cyberattaques peuvent être motivées par des raisons idéologiques, mais appelle à la prudence en attendant les résultats des enquêtes pour identifier les auteurs. Ali Moutaïb, expert en intelligence économique, estime qu’une enquête approfondie est nécessaire pour remonter jusqu’aux pirates informatiques.
Un précédent juridique
Les risques juridiques liés à l’affaire de la CNSS sont encadrés par les lois marocaines sur la protection des données personnelles, ainsi que par le règlement européen sur la protection des données (GDPR). Selon Imad Elbaraka, la CNSS pourrait être tenue pour responsable si elle n’a pas respecté son devoir de vigilance, tout comme ses sous-traitants. Des sanctions administratives, civiles voire pénales pourraient être envisagées, ouvrant la voie à des actions collectives en justice.
L’ampleur de l’attaque contre la CNSS met en lumière l’importance de la cybersécurité pour les organismes publics et privés. Ali Moutaïb met en garde contre la vente de données personnelles sur le Dark web et souligne la nécessité d’actions concrètes pour renforcer la sécurité des données.
Le rôle de la DGSSI
Imad Elbaraka souligne le rôle crucial de la Direction générale de la sécurité des systèmes d’information (DGSSI) dans la protection des infrastructures vitales du pays. Il estime que l’État marocain a rempli son rôle en matière de régulation et de législation, mais que les organismes publics et privés doivent également jouer leur rôle dans la sécurisation des données.
Ali Moutaïb insiste sur la nécessité d’agir avec fermeté contre les entreprises qui ne prennent pas au sérieux la cybersécurité. Il rappelle que certains pays ont déjà mis en place des sanctions contre les entreprises négligentes en matière de protection des données, et encourage le Maroc à suivre cette voie pour renforcer sa sécurité informatique.
