Le 18 octobre, en Conseil des ministres présidé par Sa Majesté le Roi Mohammed VI, un projet de décret concernant l’hébergement dans le Cloud des données sensibles a été adopté. Ce texte vient combler un vide juridique et pallier une vulnérabilité dans les infrastructures numériques nationales.
En 2024, le Maroc a enregistré pas moins de 644 cyberattaques, selon les chiffres révélés par Abdellatif Loudiyi, ministre délégué chargé de la Défense nationale. L’intensification de ces attaques, en constante augmentation d’année en année, témoigne clairement du fait qu’elles ne sont plus le seul fait de cybercriminels isolés, mais bien d’acteurs étatiques menant contre notre pays une véritable guerre de cinquième génération. Le Royaume a pris les devants dès 2020 en adoptant la loi n° 05-20 relative à la cybersécurité. Ce cadre juridique confie la protection des infrastructures numériques nationales à la Direction générale de la sécurité des systèmes d'information (DGSSI), rattachée à la Défense nationale. Cette loi dispose en outre que toutes les données sensibles doivent être exclusivement hébergées sur le territoire national, assurant ainsi la souveraineté sur ces informations critiques. Points de vulnérabilité Les administrations publiques et les entreprises stratégiques concernées n’ont que deux options : soit construire leurs propres infrastructures pour y stocker leurs données, soit faire appel à des prestataires externes qui louent une partie de leurs capacités de stockage, une solution communément appelée Cloud (ou informatique en nuage). Exit les géants du Cloud tels qu’Amazon Web Services, Microsoft Azure ou Google Cloud Platform : les institutions concernées ne peuvent faire appel qu’à des prestataires de services Cloud marocains ou opérant au Maroc. Plusieurs entreprises locales ont effectivement vu le jour ces dernières années, affichant des capacités souvent très inégales. Cependant, le secteur évolue encore dans un cadre flou, marqué par l’absence de règles claires et de normes strictes pour encadrer leurs activités et garantir un niveau de sécurité suffisant. “Chaque service ou application Cloud ajouté crée de nouveaux points d'entrée potentiels pour les cyberattaques. Les environnements Cloud, souvent complexes et hétérogènes, peuvent rendre difficile la gestion de ces points d'accès, augmentant ainsi le risque d'exposition des données sensibles”, alerte le professeur et expert en cybersécurité, Younès Felahi. Ces vulnérabilités peuvent ouvrir la voie à divers types de violations de sécurité, allant des fuites et détournements de données sensibles et personnelles, à l’interception de données en transit (attaques de type Man in the Middle). Elles peuvent même compromettre l’intégrité du système, comme lors des attaques par déni de service distribué (DDoS) dont l’agence MAP a été victime en février 2023. Talon d’Achille Selon plusieurs acteurs du secteur consultés par «L’Opinion», le Cloud était devenu le talon d’Achille de la cybersécurité nationale, au point où certaines institutions hautement stratégiques hésitaient à confier leurs données à des prestataires externes. Ce vide juridique vient d’être comblé avec l’adoption, le 18 octobre en Conseil des ministres, du projet de décret n° 2-24-921. Ce texte concerne le recours, par les entités ou infrastructures d’importance vitale disposant de systèmes d’information ou de données sensibles, aux prestataires de services Cloud. Il prévoit, entre autres, la mise en place d’un régime de qualification pour ces prestataires et définit les règles encadrant leur sélection. "Le secteur du Cloud est en pleine expansion, mais il existe une grande disparité dans les pratiques commerciales et les niveaux de service. Un cadre juridique spécifique aide à réguler le marché en établissant des règles claires sur les droits et obligations des parties, ce qui contribue à une concurrence équitable", explique notre expert. Normes internationales Selon la DGSSI, ce nouveau régime permettra de disposer de garanties sur la compétence des prestataires Cloud et de leur personnel, sur la qualité des mesures organisationnelles et techniques mises en place, et, globalement, sur la confiance qui peut leur être accordée. Plusieurs certifications de sécurité existent déjà et peuvent servir de référence au nouveau régime instauré par le décret n° 2-24-921, notamment la norme internationale ISO/IEC 27001, qui porte sur les systèmes de gestion de la sécurité de l'information (SGSI) et offre un cadre pour gérer la sécurité des données, ainsi que la norme ISO 22301 pour les systèmes de management de la continuité d’activité. Quant à la DGSSI, l’article 19 de la loi 05-20 relative à la cybersécurité dispose qu'elle doit homologuer la sécurité de tout système d’information sensible avant sa mise en exploitation. L’institution délivre également la qualification PASSI pour labelliser les prestataires d’audit de la sécurité des systèmes d’information. Palliant le vide juridique qui existait jusqu’alors, Bank Al-Maghrib avait pris l’initiative de publier en mai 2022 une directive établissant les règles minimales pour l'externalisation vers le Cloud par les établissements de crédit. Avec ce nouveau décret, le secteur bancaire, ainsi que d'autres systèmes vitaux tels que celui de la Santé, sera dorénavant soumis à cette nouvelle réglementation. Mise à niveau À l'entrée en vigueur du nouveau décret, les entreprises et institutions concernées devront revoir leur manière de stocker leurs données, tandis que les prestataires de services Cloud opérant sur le territoire marocain devront renforcer leurs mesures et normes de sécurité pour se conformer à la nouvelle législation. Mais en auront-ils les capacités techniques et financières ? "En réalité, et d'un point de vue terrain, il est très difficile de traiter spécifiquement les données sensibles, car elles sont souvent intégrées dans des systèmes contenant également d'autres données moins sensibles", explique le professeur et expert en cybersécurité, Younès Felahi. "Cette situation fait que la majorité des entreprises disposant d'infrastructures d'importance vitale n'adoptent pas le Cloud et peinent à définir une trajectoire digitale pour soutenir leurs activités dans un monde plus que jamais agile et compétitif (time to market, agilité, DevOps, réduction des coûts, avec un cœur de métier autre que l’IT...)", poursuit-il.
3 questions à Younès Felahi : “Le décret vise à introduire des obligations claires pour les prestataires de services Cloud”
Quel vide juridique le projet de décret n° 2-24-921 viendra-t-il combler ? - Avant ce décret, il n'existait pas de réglementation spécifique au Cloud au Maroc, laissant un vide en matière de protection des données au niveau du Cloud et de responsabilité des prestataires. Les contrats standardisés offerts par les fournisseurs Cloud étrangers ne prenaient souvent pas en compte les spécificités du marché marocain ni les besoins des utilisateurs. Le décret vise à introduire des obligations claires pour les prestataires concernant la sécurité des données et la transparence dans leurs pratiques commerciales. Cela inclut entre autres la nécessité d'informer clairement les clients sur les conditions de service et sur les frais associés au transfert ou à la résiliation. Avec la montée en puissance de réglementations internationales telles que le RGPD en Europe, le Maroc a besoin d'un cadre juridique qui aligne ses pratiques sur celles d'autres pays, facilitant ainsi le commerce international et la coopération en matière de cybersécurité. En quoi le recours aux services Cloud introduit-il de nouveaux défis en matière de cybersécurité ? - Les infrastructures Cloud modernes sont souvent composées de multiples services (IaaS, PaaS, etc.), chacun ayant ses propres exigences de sécurité. Cette diversité complique la gestion et la sécurisation des environnements, rendant difficile l'identification et la remédiation des vulnérabilités. De plus, l'intégration de services Cloud avec des systèmes existants peut créer des interdépendances complexes qui augmentent le risque de vulnérabilités cachées. Le modèle de responsabilité partagée dans le Cloud signifie que bien que les fournisseurs gèrent la sécurité physique et l'infrastructure, les clients restent responsables de la sécurité de leurs données. Cela pouvait créer une fausse impression de sécurité si les entités ne comprenaient pas clairement leurs responsabilités. Quels mécanismes de contrôle doivent-ils être mis en place ? - Les audits réguliers réalisés par des auditeurs indépendants sont essentiels pour évaluer la conformité des prestataires aux normes de sécurité. Ces audits doivent porter sur l'environnement de contrôle interne, l’accès à la piste d'audit et la sécurité des installations. De plus, la réalisation régulière de tests de pénétration et de simulations d'attaques permet d'évaluer la résilience des systèmes et d'identifier les vulnérabilités avant qu'elles ne soient exploitées par des attaquants.
DGSSI : La Stratégie Nationale de Cybersécurité 2030
Le Cloud (ou informatique en nuage) est une technologie permettant de stocker et d’accéder à des données et applications via Internet, plutôt que sur son propre ordinateur ou serveur local. En d’autres termes, au lieu de sauvegarder des fichiers uniquement sur un disque dur, on peut les héberger à distance dans des centres de données gérés par des fournisseurs tels que Google Cloud Plateform, Amazon Web Services (AWS) ou Microsoft Azure. L'un des principaux avantages du Cloud est la possibilité d’accéder aux données à tout moment et depuis n'importe quel endroit, à condition d’avoir une connexion Internet. Par exemple, un utilisateur peut consulter et modifier ses documents sur Google Drive ou ses photos sur iCloud depuis son smartphone, sa tablette ou son ordinateur. Le Cloud présente des avantages financiers et opérationnels pour les entreprises. En déplaçant leurs opérations vers le Cloud, elles réduisent leurs coûts en évitant d’investir dans des infrastructures physiques. De plus, le Cloud leur permet de s’adapter rapidement à la demande en augmentant ou diminuant les ressources disponibles selon les besoins, un principe appelé scalabilité. Cependant, le Cloud pose des défis, notamment en matière de sécurité des données et de dépendance vis-à-vis des fournisseurs de services Cloud. C’est pourquoi de nombreuses entreprises optent pour des solutions de Cloud privé, qui leur permettent de conserver un contrôle complet sur leurs données et systèmes, ou pour des modèles de Cloud hybride, qui combinent des ressources locales et des ressources Cloud publiques, ce qui permet plus de flexibilité.
Systèmes informatiques : Qu’est-ce que le Cloud ?
La Stratégie Nationale de Cybersécurité 2030 repose sur quatre piliers principaux pour assurer un cyberespace marocain sécurisé et résilient. Le premier pilier, dédié à la gouvernance, vise à renforcer le cadre juridique et institutionnel, en adaptant régulièrement les normes et en promouvant la coordination entre les entités publiques et privées. Le deuxième pilier se concentre sur la sécurité et la résilience du cyberespace, avec des actions pour protéger les infrastructures vitales (IIV) par des audits, la certification et des mesures de prévention contre les incidents cybernétiques. Le troisième pilier met l'accent sur le développement des capacités, avec un renforcement des cursus universitaires et la sensibilisation de la population aux risques cyber. Enfin, le quatrième pilier prône la coopération internationale, en participant aux forums régionaux et en établissant des partenariats bilatéraux. En tout, cette stratégie comprend 11 objectifs stratégiques et 26 initiatives, déclinées en 60 actions.