Depuis 1999, le Maroc a publié cinq stratégies pour le numérique et s’est doté en 2017 d’une Agence de Développement du Digital (ADD), signe de son ambition sur le plan national mais également vis-à-vis des marchés régionaux et internationaux. Ces efforts ont porté leurs fruits puisque le nombre de marocains connectés à Internet est passé de 14% en 2008 à 58% en 2017. Le Maroc est devenu une des principales destinations d’externalisation des services IT pour les entreprises francophones. Ce secteur représente aujourd’hui plus de 3% du PIB du pays. Toutefois l’ouverture du Royaume au marché de l’IT accroît sa surface d’exposition aux menaces issues de l’environnement cyber alors que les exigences des entreprises internationales ne font que croître en matière de cybersécurité. Ainsi, le pays se situe au 34^ème rang mondial des pays ciblés par des cybermenaces. Dans ce contexte, comment le Maroc met-il en œuvre sa cyber protection ? Quels défis reste-t-il à relever pour le pays ?

L’organisation de l’Etat marocain en matière de cybersécurité 

A partir de 2003, le Maroc a commencé à se doter d’un corpus législatif dédié à la protection contre les cybermenaces, tout d’abord avec la loi 07-03 intégrant des infractions relatives aux systèmes de traitement automatisé de données définies dans la Convention de Budapest. En 2007 le pays se dote d’un cadre juridique portant sur la cryptographie, la signature électronique et la certification électronique avec la loi 53-05. Le renforcement du cadre légal se poursuit en 2009 avec la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Inspirée des législations européenne – ante RGPD –  et française, cette loi a notamment pour objectif d’accompagner et de faciliter les échanges de données avec l’Europe compte tenu du développement de l’externalisation des services au Maroc. Ces lois ont été complétées depuis 2009 par un certain nombre de décrets et d’arrêtés dont les plus récents traitent plus particulièrement sur la protection des systèmes d’information des infrastructures d’importance vitale (décret n° 2-15-712 fixant le dispositif de protection des systèmes d’information sensibles des infrastructures d’importance vitale et arrêté n°3-44-18 fixant les critères d’homologation des prestataires d’audit privés des systèmes d’information sensibles des infrastructures d’importance vitale).

En complément de ce cadre législatif, le Royaume chérifien s’est doté en 2012 d’une Stratégie nationale en matière de cybersécurité articulée autour de 4 axes. L’architecture de cybersécurité du pays qui est décrite dans le document met une fois de plus l’accent sur la protection des SI des organisations marocaines les plus sensibles (administrations, organismes publics et OIV). La création de la Directive Nationale de la Sécurité des Systèmes d’Information (DNSSI) en 2013 est l’un des produits de la Stratégie nationale. La DNSSI décrit les mesures de sécurité organisationnelles et techniques qui doivent être appliquées par les organisations les plus sensibles.

Pour assurer la gouvernance étatique de la cybersécurité, plusieurs organisations ont été créées au cours des dix dernières années. Ainsi, la définition des orientations stratégiques en matière de sécurité des systèmes d’information est de la responsabilité du Comité Stratégique de la Sécurité des Systèmes d’Information (CSSSI), créé en 2011 et présidé par le ministre chargé de l’Administration de la Défense Nationale. La mise en oeuvre de ces orientations stratégiques revient principalement à la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI), également créé en 2011 et équivalent à l’ANSSI en France. L’organisation annuelle de l’exercice de cybersécurité national « Cyber-Drill » ou des « rencontres de la DGSSI » font partie des initiatives mises en œuvre par cette organisation. Constituant une des directions de la DGSSI, le maCERT (Moroccan Computer Emergency Response Team) est quant à lui en charge de la veille, de la détection et de la réponse aux cyberattaques. Parmi les autres acteurs gravitant dans l’écosystème de la cybersécurité, nous pourrions également citer :

• l’Agence Nationale de Réglementation des Télécommunications (ANRT) qui est chargée de la régulation et de la réglementation du secteur des télécommunications
• la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) dont la responsabilité est de contrôler le respect de la législation en matière de protection des données personnelles
• le Centre Marocain de Recherches Polytechniques et d’Innovation (CMRPI) qui porte la Campagne Nationale de Lutte Contre la Cybercriminalité

Enfin, les autorités marocaines ont noué des partenariats avec d’autres Etats afin de tirer parti de leur savoir-faire et de retours d’expérience. Ainsi, de manière non-exhaustive, la Corée du sud a participé en 2011 au développement du maCERT, la DGSSI et l’ANSSI ont signé en 2013 un accord de coopération et le Maroc a ratifié en 2018 la Convention de Budapest sur la cybercriminalité, dont le chapitre 3 porte sur la coopération internationale. Toujours en 2018, le Maroc a intégré le projet de coopération « CyberSud » avec l’Union européenne et aux côtés d’autres pays comme la Tunisie et l’Algérie afin de renforcer les capacités de ces Etats en matière de lutte contre la cybercriminalité.

Des initiatives et des opportunités économiques limitées par la pénurie de compétences

Le Royaume du Maroc poursuit aujourd’hui ses efforts législatifs en matière de cybersécurité, comme l’a évoqué le ministre chargé de l’Administration de la Défense Nationale durant la septième édition du séminaire sur la cybersécurité. Ainsi, une « loi cyber » est en cours de préparation et portera sur les dispositions auxquelles seront soumis les prestataires de services numériques. Par ailleurs, des travaux sont en cours entre l’Union européenne et le Maroc en vue de faire converger le droit marocain en matière de données personnelles vers les exigences portées par le RGPD. La récente adhésion du Maroc à la convention 108 constitue une étape significative dans cette voie.

Malgré ces initiatives menées au cours des quinze dernières années et décrites précédemment, le Maroc constitue encore aujourd’hui une cible privilégiée des cyberattaques à l’échelle mondiale. D’après une étude de Kaspersky, le pays se situe ainsi au 34^ème rang mondial des pays ciblés par des cybermenaces et au 3^ème rang pour ce qui est des attaques contre les systèmes de contrôle industriels. Ce niveau d’exposition aux cybermenaces peut interroger sur la mise en œuvre opérationnelle du cadre réglementaire et des initiatives prises en matière de cybersécurité.  Ainsi, à titre d’exemple les magistrats chargés de juger les affaires de cybercriminalité ne sont pas suffisamment sensibilisés à ce pan du droit. D’autres facteurs explicatifs sont liés au manque de profils formés en cybersécurité sur le marché du travail marocain et à des difficultés à mettre en œuvre la cybersécurité dans les entreprises.

Les entreprises marocaines peinent en effet à recruter des experts en cybersécurité. Malgré l’ouverture de nouveaux cursus dédiés, l’offre de formations en cybersécurité dans les établissements supérieurs est encore jugée limitée par les acteurs du marché. Ceux-ci pointent également du doigt l’insuffisante culture de formation et de sensibilisation en interne des entreprises marocaines. Par ailleurs, les rares diplômés marocains en cybersécurité trouvent généralement des propositions d’emplois plus avantageuses à l’étranger, alimentant une fuite des cerveaux hors du pays. Dans le sens inverse, embaucher du personnel étranger et qualifié en cybersécurité s’avère très couteux, empêchant ainsi de résorber la pénurie de profils dans ce secteur. Cette situation affecte naturellement le niveau de sensibilisation aux enjeux de cybersécurité dans les  entreprises marocaines. En guise d’exemple, seulement 38% des entreprises disposent d’une stratégie de cybersécurité. En outre, la cybersécurité est dans de nombreuses entreprises du pays une activité réalisée à temps partiel par des salariés dont le métier est la gestion de l’IT. Enfin, 62% des entreprises marocaines investissent moins d’un million de dirhams en cybersécurité[soit moins de 100 000 euros]. A titre de comparaison, d’après une étude menée par Hiscox auprès de 5400 entreprises américaines et européennes, leur budget moyen pour la cybersécurité en 2019 est de 1,28 million d’euros. Les petites entreprises marocaines sont sans surprise les plus vulnérables à ces menaces faute de sensibilisation à ces enjeux et de moyens financiers.

En dépit de la pénurie de ressources humaines formées à la cybersécurité et de l’insuffisante sensibilisation au sujet qui constituent autant de freins au développement d’une industrie de la cybersécurité marocaine, le secteur émerge tant par le développement d’acteurs nationaux que par l’arrivée d’entreprises étrangères qui investissent dans la cybersécurité au Maroc. Pour celles-ci, l’enjeu de l’investissement dans le pays est double : conquérir des parts de marché sur le marché marocain de la cybersécurité qui est en plein développement et disposer d’une plateforme régionale afin de proposer des services de cybersécurité dans le reste de l’Afrique – dont le marché représentera 2,3 milliards de dollars en 2020 -, à commencer par les pays francophones. Ce choix stratégique des entreprises s’implantant au Maroc est d’ailleurs conforté par l’ambition du pays à devenir le premier hub numérique en Afrique francophone et le deuxième à l’échelle de l’Afrique.

Conclusion

L’enjeu de sécurisation du cyberespace marocain est identifié depuis plusieurs années par les autorités. Le pays s’est ainsi doté d’un cadre réglementaire solide et d’une organisation étatique crédible. Pour autant, le manque de profils spécialisés en cybersécurité sur le marché du travail grève en grande partie les nombreux efforts et initiatives réalisés pour structurer une industrie de la cybersécurité robuste et, plus largement, accroître le niveau de connaissances, de compétences et de sensibilisation sur le sujet au sein de la société marocaine. En misant sur la formation – tant académique qu’en interne des organisations – et en ayant une politique attractive envers les profils qualifiés, les entreprises marocaines et étrangères disposent donc d’une marge de manœuvre réaliste pour tirer le meilleur parti de l’écosystème juridique et étatique mis en place, ainsi que des opportunités économiques ouvertes par le Royaume aux échelles nationales, régionale et internationale. Des espaces d’échanges entre professionnels de la cybersécurité tels que le Forum SIT  – dont la 7^ème édition se tiendra à Marrakech en juin 2020 – continueront à nourrir ces réflexions et à soutenir la filière dans son développement.

Rédacteur : Julien Douillard, Consultant Sécurité chez Formind