Annonces Légales et Bulletin Officiel Journal d'annonces légales et publicateur au bulletin officiel
Depuis les récentes cyberattaques perpétrées à l’égard de la CNSS et de plusieurs ministères, beaucoup d’encre a coulé dans les médias et les réseaux sociaux. S’en est suivie une réaction du porte-parole officiel du gouvernement pour dire que « les institutions ciblées avaient pris les mesures nécessaires pour renforcer leurs infrastructures numériques et leur sécurité informatique » et que « les succès diplomatiques du Maroc dérangent les parties hostiles à notre pays ». Tout ça, c’est bien joli à entendre et ce n’est pas non plus faux.
Les directions IT ou Cyber manquent-elles de visibilité ?
Allons droit au but : la question fondamentale à laquelle il faut trouver réponse est très simple : comment cohabiter avec des cyberattaques ? Même les pays les plus avancés en matière de cybersécurité font régulièrement face à des attaques informatiques. Cela devient un jeu classique auquel se livrent les Etats pour adopter une attitude de légitime défense. Au Maroc, la DGSSI chapeaute le dispositif national de cybersécurité et dispose de plusieurs attributions dont quelques-unes ciaprès : diffusion d’alertes et de bulletins de sécurité à chaque fois qu’une faille de sécurité critique est détectée, lancement de missions d’audits de sécurité des systèmes d’information des administrations et organismes publics, élaboration des textes législatifs et réglementaires relatifs à la cyber sécurité, publication de codes de bonne conduite, puisés des meilleures pratiques internationales.
Il ne s’agit pas ici de culpabiliser la DGSSI ou de responsabiliser des dirigeants d’établissements stratégiques (publics ou privés), de remettre en cause l’efficacité des directions IT (« Cyber ») ou le niveau de qualification des spécialistes en cybersécurité. Par contre, un certain nombre de questions se pose. Est-ce que les dirigeants des différentes institutions nationales sont suffisamment sensibilisés pour prendre conscience, à l’aune du numérique et de l’IA, de la dangerosité des menaces et des attaques cyber pour la sécurité nationale et de pouvoir cerner les frontières entre l’espionnage parrainé par l’Etat, la guerre et la cybercriminalité ? Bien qu’aucune défense ne soit impénétrable et compte tenu que les cyber-soldats changent souvent de méthode, une vigilance accrue s’impose aujourd’hui plus que jamais.
Suite à ces cyberattaques, la DGSSI a répondu dans les règles de l’art et en temps opportun, au travers une série d’actions, pour n’en citer que quelques-unes : ouverture d’une enquête sur les causes probables de survenance, lancement d’un programme d’audits ciblés, demande de suspension temporaire de services électroniques par certaines institutions nationales, sensibilisation de dirigeants d’établissements publics aux mesures de précaution à adopter en matière de cybersécurité.
Toutefois, est-ce que ces initiatives permettront à notre pays de tirer les enseignements nécessaires ? Certes, tout cela est très important mais il faudrait s’attaquer, essentiellement, aux véritables causes racines de cet incident. Est-ce que les administrations sont dans la capacité de choisir de bons produits informatiques, surtout que derrière il y a un certain nombre de vulnérabilités qui fausseraient considérablement les bons choix, à l’exemple des risques de pratiques illégales et de corruption dans les marchés publics ou de l’incompétence de certains acheteurs dans la définition des besoins réels dans le cadre de projets d’acquisition d’équipements et de services ? Est-ce que les produits matériels et logiciels sont soumis à une obligation légale nationale stricte en matière de cybersécurité ? Est-ce que les fabricants et/ou prestataires de ces produits informatiques en assurent une sécurité maximale tout au long de leur cycle de vie ? Est-ce que le niveau de sécurité des produits utilisés (software ou hardware) peut résister à des cyberattaques de plus en plus élaborées ? Les fabricants, les importateurs et les distributeurs impliqués dans la mise sur le marché de ces différents produits sont-ils soumis à des obligations claires et à des contrôles réguliers et stricts, compte tenu de l’évolution rapide des connaissances scientifiques et techniques ? Les sanctions prévues en cas de non-conformité aux exigences de cybersécurité et de cyber-résilience sont-elles suffisamment contraignantes ? Pourquoi les organismes publics et privés ne protègent-ils pas systématiquement leurs données sensibles avec un cloud sécurisé 100% marocain ? Est-ce que la GRH dans les institutions publiques s’inscrit dans un esprit de développement des compétences et cherche-t-elle vraiment à fidéliser et recruter les talents de demain ? La cybersécurité est-elle vraiment au cœur des nouvelles missions des services de renseignement (https://www.lopinion.ma/Renseignement2-0-La-cybersecurite-au-coeur-de-la-strategie_a63167.html) ?
Une multitude de questions complexes partagées avec les plus hautes autorités du pays pour un réglage très fin du dispositif national de cybersécurité surtout que le Maroc s’est engagé dans une dynamique de transition vers un développement économique régional et méditerranéen durable.
