Renforcement de la cybersécurité au Maroc : un pas décisif
Le Maroc a franchi un pas décisif vers le renforcement de sa cybersécurité et de sa souveraineté numérique, enjeux majeurs face à la recrudescence des menaces cybernétiques. Un décret sur le recours aux prestataires de services cloud par les entités et infrastructures d’importance vitale disposant de systèmes d’information (SI) ou de données sensibles a été publié dans le dernier Bulletin Officiel (n° 7352).
Des dispositions juridiques renforcées pour protéger les systèmes d’information sensibles
Ce décret ouvre la voie à la mise en œuvre de nouvelles dispositions juridiques visant à renforcer la protection et la résilience des systèmes d’information des administrations de l’État, des collectivités territoriales, des établissements et entreprises publics, ainsi que des infrastructures d’importance vitale (IIV), indispensables au maintien des fonctions essentielles de la société (santé, sûreté, sécurité, bien-être économique et social).
Un régime de qualification pour les prestataires cloud
Élaboré par la Direction générale de la sécurité des systèmes d’information (DGSSI), relevant de l’Administration de la Défense nationale, ce décret prévoit la mise en place d’un régime de qualification des prestataires cloud et définit les règles de sélection de ces derniers pour la gestion des SI et des données sensibles, conformément à la loi n° 05-20 relative à la cybersécurité.
Deux niveaux de qualification pour les prestataires
Le régime est structuré autour de deux niveaux de qualification. Lorsque les entités et infrastructures d’importance vitale font appel à des services cloud pour héberger, gérer ou exploiter tout ou partie de leurs systèmes d’information sensibles, elles doivent recourir à des prestataires qualifiés de niveau 1.
Les prestataires étrangers exclus
Lesdits prestataires doivent être constitués sous forme de sociétés de droit marocain et déployer l’ensemble de leurs systèmes d’exploitation et d’administration des services sur le territoire national. Ce premier niveau de qualification permet au Maroc d’exercer sa juridiction, notamment en matière de cybersécurité, et de contrôler les activités des prestataires cloud qui manipulent des SI sensibles, précise la DGSSI.
Le deuxième niveau de qualification impose des conditions supplémentaires, d’ordre juridique et technique, lorsque des données sensibles sont concernées. L’objectif est de garantir que ces données, du fait de leur confidentialité, soient traitées sur des infrastructures contrôlées par des sociétés soumises uniquement aux lois marocaines, sans interférence de législations extraterritoriales.
Un soutien nécessaire pour l’industrie locale du cloud
L’importance de ce décret a également été soulignée par Marouane Harmach, expert marocain en communication digitale, qui a mis en avant la pertinence de l’option du cloud souverain qu’il institue. Toutefois, notre interlocuteur estime que l’atteinte de cet objectif est loin d’être facile, car il s’agit de développer une véritable industrie locale du cloud. «Cette industrie doit remplir plusieurs critères pour atteindre un standard de qualité et ne se résume pas à la simple acquisition d’un serveur», argumente-t-il.
Le défi est d’autant plus sérieux que les services cloud évoluent rapidement à l’international, avec l’introduction de nouvelles technologies que les opérateurs nationaux doivent suivre. Or, l’écosystème actuel n’est pas suffisamment qualifié pour répondre aux besoins des entreprises du secteur, en raison notamment des problèmes de connexion internet, en particulier en ce qui concerne le débit et les tarifs appliqués par les opérateurs télécoms.
«Cette industrie naissante a besoin d’un soutien gouvernemental et d’une vision stratégique pour accompagner le secteur», insiste l’expert. Certes, la feuille de route «Maroc Digital 2030» prévoit des mesures en ce sens, mais celles-ci ne sont pas suffisantes, selon Marouane Harmach, qui appelle à «un soutien pratique et financier pour permettre au secteur de se développer et de jouer pleinement son rôle».
