On peut citer l’exemple du bloc anglo-saxon (Usa, Royaume Uni et Australie) en matière de sécurité (Aukus) qui permet une étroite collaboration structurée et active en matière de cyberdéfense, d’intelligence artificielle et de technologies quantiques. Il y a aussi l’Alliance « The Five Eyes » (Usa, Canada, Royaume Uni, Australie et Nouvelle-Zélande), qui au-delà d’être un simple réseau d’échange de renseignements d’origine électromagnétique, est souvent considéré comme un « réseau de réseaux » car il comprend plus d’une vingtaine d’agences de renseignement.
Un autre cas d’espèce intéressant est celui des accords bilatéraux de défense et de sécurité, conclus par le Maroc avec de grandes puissances, permettant au royaume de développer sa capacité de défense et d’attaque dans le domaine du renseignement cyber. A vrai dire, dans le monde du renseignement (intérieur, extérieur ou militaire), les objectifs restent les mêmes : obtenir toutes les informations nécessaires pour assurer la protection du pays et de ses institutions. Dans cette perspective, la démarche de cybersécurité devient un élément clef à intégrer pleinement dans les activités et les différents aspects de travail des services de renseignement, de police et de l’armée.
La cybersécurité : un grand projet de nation
La cybersécurité, fonction multifacette dans laquelle des dizaines de métiers s’entremêlent, est un monde à part entière dans la mesure où l’on y retrouve tous les secteurs d’activités, publics et privés. Consistant à protéger les systèmes informatiques contre les menaces de sécurité, toute démarche de cybersécurité constitue un grand projet de nation dans lequel tout citoyen y est concerné. Pour aller à l’essentiel, le triptyque « Prévenir, Détecter et Réagir » constitue les piliers fondamentaux d’un dispositif réussi de cybersécurité.
Sinon, il convient d’apporter pour les non-initiés à cet environnement une précision d’ordre terminologique puisqu’ils ne font pas généralement la différence entre plusieurs notions pour ne citer que la « cybersécurité », la « cyberdéfense » et la « cyberprotection ». Pourtant, la dissimilitude est là. Au fait, la cybersécurité est un concept large qui inclut toutes les mesures visant à protéger les informations numériques ; Son principal intérêt est de protéger une infrastructure dedonnées d’un pays et de toute organisation contre toutes formes de cyberattaques et de menaces informatiques.
Pour ce qui concerne la cyberdéfense, celle-ci se focalise, principalement, sur la défense nationale contre les cybermenaces ; Pour être plus précis, cela concerne un ensemble de mesures prises par les services de renseignement et l’armée dans l’objectif de protéger les systèmes critiques dont dépend la défense nationale et de se défendre contre les cyberattaques. Quant à la cyberprotection, il s’agit, tout simplement, de l’ensemble des moyens, techniques ou juridiques qui contribuent à assurer la cybersécurité.
La force d’un Etat se mesure à travers sa maitrise du Cyber
Au-delà des milieux classiques de la stratégie de sécurité et de défense (terre, mer, air et espace extra-atmosphérique), le Cyber (cyberespace) devient le territoire le plus important dans lequel se dispute la plupart des batailles. En vain, le numérique révolutionne le monde d’aujourd’hui et de demain, mettant les Etats à l’épreuve des défis de la cybercriminalité, du cyberespionnage et de la cyberinvestigation. Le risque d’attaque cyber et des importantes conséquences qui en découlent devient la priorité des priorités pour tous les pays. Puis, lorsque l’on cherche à comprendre en quoi est constitué le Cyber et comment l’appréhender de la manière la plus juste, on se rend compte rapidement qu’il faut s’équiper de moyens matériels de dernière génération tels que des serveurs produisant de la data à très haut niveau et des applications 2.0 de veille et de recherche. Il faut aussi avoir sous la main un personnel hautement qualifié, pour ne citer que les experts en ingénierie et en sécurité des systèmes d’information, en Big Data, en Cloud computing et virtualisation, en robotique, en drones et en intelligence artificielle; Sans oublier des métiers qui ont nettement évolué, à l’exemple des analystes de l’information numérique, des spécialistes en cyberdéfense et des juristes spécialisés en cybersécurité.
Puis, il est important pour les services de sécurité et de renseignement (civil et militaire) de fidéliser le personnel hautement compétent et leurs cadres expérimentés, tout en instaurant, parallèlement, un code déontologique spécifique pour éviter les départs précipités vers le secteur privé dans le domaine de la cyberdéfense, avec tous les risques que cela implique. Dans une autre perspective, ne faut-il pas que l’Etat consacre un budget beaucoup plus important dans le cyber, compte tenu qu’il devient l’un des piliers incontournables de l’armée et des services de renseignement. N’oublions pas non plus de relever le nombre conséquent de profils hautement qualifiables en IT qui migrent, depuis déjà quelques années, à l’étranger. Pour cela, il faudrait les motiver, au vrai sens du terme, pour rester au service de leur nation, sinon l’on risque de vivre, à l’avenir, une vraie pénurie de ces spécialistes, surtout que le royaume, en tant que principal centre technologique en Afrique, est massivement exposé à des cyberattaques.
Comment adapter l’organisation de la cyberdéfense de l’Etat pour une nation cyber résiliente ?
Bien que des efforts nationaux importants soient réalisés à l’effet de protéger les infrastructures essentielles, il reste beaucoup à faire dans ce domaine. Certes, la DGSSI a forgé une bonne stratégie nationale de cybersécurité à l’horizon 2030. Toutefois, bien que cette politique soit intéressante, en mettant l’accent sur le renforcement de la sécurité et l’amélioration de la résilience du cyberespace, ce dernier est un universtellement connecté qu’il évolue à une vitesse grand V et où le cerveau peut facilement perdre ses repères dans un lendemain radicalement nouveau. C’est pour cela qu’il faut veiller à affiner, minute par minute, le dispositif national de cybersécurité, pour être constamment à l’écoute des défis et être bien outillé pour maitriser et anticiper les risques futurs qui pourraient porter atteinte à la souveraineté nationale, à la sécurité nationale ou à l’ordre public.
Dans cette perspective, les questions soulevées, suggestions et recommandations ci-après, destinées à améliorer les processus mis en place par le Maroc en matière de cybersécurité, sont partagées avec les hautes autorités du pays. Pour commencer : est-ce que la DGSSI peut se contenter de son organisation actuelle pour doter le pays d’une cyberdéfense de premier plan ? L’approche Cyber, telle que menée par la DGSSI, permet-elle de réunir l’ensemble des acteurs de l’Etat au bon niveau pour mieux comprendre les enjeux actuels et futurs, en l’absence d’importants investissements publics et privés ? N’y a-t-il pas aujourd’hui, au-delà de la DGSSI et des services de sécurité et de défense (DGST, DGSN, DGED, Gendarmerie Royale, 5ème bureau de l’état-major général des FAR), un besoin pressant pour instituer une Structure nationale de cyberdéfense, rattachée directement à l’Institution royale, dotée d’outils technologiques de pointe et d’experts les plus qualifiés dans la cybersécurité ? N’est-il pas nécessaire de diligenter, à intervalles réguliers, des contrôles techniques en cybersécurité dans les établissements publics et les entreprises stratégiques opérant dans des secteurs clefs ? Ne faut-il pas renforcer l’éducation à la cybersécurité à l’école en vue de diffuser une culture de l’hygiène numérique au sein de la population ? Ne faut- il pas multiplier et varier les offres de formation en cybersécurité dans les établissements publics d’enseignement supérieur, au-delà des écoles privées ? Les administrations publiques sont-elles suffisamment sensibilisées par rapport aux risques de sécurité liés aux solutions d’IA génératives ? ; Idem concernant leurs employés par rapport à la sécurité des données quand ils utilisent ChatGPT ou des applications alternatives dans un contexte professionnel, pouvant, en toute inconscience, soumettre des informations confidentielles pour être assistés dans la rédaction de comptes rendus, de notes d’analyse et de rapports.
N’y a-t-il pas non plus un besoin pressant de sensibiliser le personnel des administrations par rapport aux risques liés au recours aux services numériques de META (Facebook, Messenger, WhatsApp, Instagram) ou toute autre application de messagerie grand public dans des environnements professionnels (risques de violation de données et d’accès non autorisés à des informations sensibles)? Comment limiter au strict nécessaire le recours aux solutions étrangères dans les systèmes d’armes ? Pourquoi ne pas se doter de moyens de sauvegarder des données de l’ensemble des acteurs des organismes d’importance vitale dans des clouds souverains ? Pourquoi ne pas mener des études approfondies pour identifier et explorer les opportunités offertes par l’intelligence artificielle (IA) et élaborer une feuille de route spécifique aux influences mutuelles entre l’IA et la cyberdéfense ? Pourquoi ne pas associer davantage les instances parlementaires au suivi de la politique nationale de cybersécurité ? A l’orée du Forum africain de la cybersécurité organisé, du 3 au 5 février 2025, par la DGSSI, en partenariat avec Smart Africa, ce serait peut-être l’occasion de commencer à débattre, à chaud, ces interrogations clefs qui pourraient avoir une influence notable sur la culture de la cybersécurité sur les plans national et africain. Cela contribuerait aussi à améliorer les débats, en échangeant des opinions et des pratiques innovantes autour de sujets d’actualité à l’exemple des enjeux de sécurité et desavantages potentiels de l’IA dans la lutte contre les cyberattaques, de l’importante place de la cybersécurité dans la sphère du renseignement et de l’armée ou encore de l’intérêt grandissant d’une coopération renforcée et durable en Afrique en matière de cybersécurité et de transformation numérique.