Accueil Economie Cybersécurité : le Maroc adopte un référentiel strict pour la qualification des...

Cybersécurité : le Maroc adopte un référentiel strict pour la qualification des prestataires Cloud

Par
Laura Tournon
-
11
0

Le Maroc renforce son arsenal juridique pour sécuriser les services cloud

Face à la multiplication des cybermenaces et à la dépendance croissante des administrations et des infrastructures critiques aux services cloud, le Maroc renforce son arsenal juridique. Il s’est, en effet, doté d’un référentiel complet encadrant la qualification des prestataires de services cloud.

Ce texte technique annexé à l’arrêté du Chef du gouvernement n° 3-17-25 du 1er août 2025, et publié dans le dernier Bulletin Officiel (n° 7432), définit des exigences rigoureuses en matière de sécurité, de conformité et de gestion des risques pour les providers cloud souhaitant opérer auprès des entités d’importance vitale au Maroc.

Ce référentiel s’inscrit dans la cadre de la loi n° 05-20 relative à la cybersécurité et du décret n° 2-24-921 encadrant le recours au cloud par les entités vitales. Il vise à garantir que les données sensibles hébergées dans le cloud bénéficient de protections équivalentes à celles exigées sur le territoire national.

Des exigences techniques et organisationnelles strictes

Le texte couvre tous les aspects de la sécurité cloud, dont notamment quatre. Le premier est la sécurité des données: chiffrement obligatoire des données en transit et au repos, gestion sécurisée des clés cryptographiques, et garantie de réversibilité pour les clients. Le deuxième est le contrôle d’accès: authentification multi-facteur, séparation des rôles, audit régulier des droits d’accès.

Lire aussi:  Orange domine en solitaire le déploiement de la 5G

Le troisième aspect est la sécurité physique: classification des zones (publiques, privées, sensibles), contrôle d’accès biométrique, journalisation des accès physiques. Le quatrième est la gestion des risques: analyse annuelle des risques, documentation des incidents, plans de continuité d’activité.

Les prestataires devront également garantir la localisation des données sensibles sur le territoire marocain pour les services de «Niveau 2», et informer les clients de toute externalisation de sous-traitance.

Un processus de qualification en quatre étapes

La qualification, délivrée par l’autorité nationale de cybersécurité (Direction générale de la sécurité des systèmes d’information-DGSSI), suivra un processus rigoureux incluant la soumission d’un dossier complet, des audits techniques, et des vérifications des sous-traitants. Les modèles de demande et les engagements requis seront publiés sur le site web de la DGSSI.

Un alignement sur les meilleures pratiques internationales

Inspiré des meilleures pratiques internationales, le référentiel marocain se veut pragmatique et adapté aux enjeux locaux. Il distingue notamment les responsabilités entre prestataires et clients selon le type de service (IaaS, PaaS, SaaS), clarifiant ainsi les attentes pour chaque partie.

Pour IaaS (Infrastructure as a service-Infrastructure en tant que service), le fournisseur cloud fournit les ressources informatiques de base: serveurs, stockage, réseaux, machines virtuelles.

S’agissant du PaaS (Platform as a Service-Plateforme en tant que service), le prestataire fournit l’infrastructure plus l’environnement d’exécution (systèmes d’exploitation, bases de données, serveurs web, outils de développement).

Lire aussi:  Nomination d'un nouveau Directeur Général Adjoint chez CDG Développement

Quant au SaaS (Software as a Service-Logiciel en tant que service), le fournisseur cloud fournit une application clé en main, accessible via internet.

Une avancée stratégique pour la cybersécurité nationale

L’adoption de ce référentiel représente une avancée stratégique majeure pour la cybersécurité nationale, indique le patron d’une société marocaine de cybersécurité.

En fixant des standards stricts de sécurité technique, organisationnelle et juridique, le Maroc se dote d’un cadre solide pour encadrer un secteur où les risques de fuite, de sabotage ou de dépendance excessive vis-à-vis d’opérateurs étrangers sont réels, note-t-il.

Cette démarche contribue à instaurer un équilibre entre innovation numérique et souveraineté des données, enjeu central à l’heure où le cloud devient un pilier de la transformation digitale des administrations et des entreprises, ajoute-t-il.

Par ailleurs, ce dispositif place le Maroc dans le sillage des grandes puissances numériques qui imposent à leurs fournisseurs de cloud des exigences de conformité et de transparence. L’alignement sur les bonnes pratiques internationales renforce l’attractivité du pays pour les investisseurs, tout en offrant une meilleure protection aux entités d’importance vitale.

La distinction claire entre les responsabilités des fournisseurs et celles des clients, selon les modèles IaaS, PaaS et SaaS, marque également un tournant pédagogique, puisqu’elle clarifie les zones de responsabilité partagée, souvent source de confusion et de vulnérabilités, selon ce chef d’entreprise.

ARTICLES CONNEXESPLUS DE L'AUTEUR