S'abonner
Se connecter
logo du site ledesk
En clair
Toutes les réponses aux questions essentielles de l’actu

Connectez-vous

Mot de passe oublié ?

Abonnez-vous !

Découvrez l'offre de lancement du Desk

60 DH
1 mois
Découvrir les offres
13.03.2023 à 15 H 15 • Mis à jour le 13.03.2023 à 15 H 27 • Temps de lecture : 7 minutes
Par

n°854.Cyber protection : pourquoi le Maroc doit s’inspirer de la directive européenne NIS2

Face aux menaces grandissantes de cyberattaques qui planent sur les entreprises et les institutions publiques, les gouvernements ont une double responsabilité́: se protéger en tant qu’Institutions et fournir le cadre nécessaire pour protéger les entreprises, les individus et les infrastructures publiques. Ceci passe, entre autres, par l’élaboration d’un cadre légal et réglementaire. Comment le Maroc met-il en œuvre sa cyber protection ?

Depuis 2007, le Maroc s’est progressivement doté d’un cadre juridique, réglementaire et institutionnel en matière de cyber protection nationale. Si les efforts en la matière sont louables, le contexte de tensions géopolitiques et les impératifs découlant du partenariat avec l’Union européenne devraient encourager les autorités gouvernementales à anticiper les impacts de la nouvelle directive NIS2 dans la législation nationale voire de s’en inspirer pour élever le niveau global de la cybersécurité au Maroc.


Le 10 novembre, le Parlement européen a voté en faveur de l’adoption de la nouvelle directive « Network and Information Security » ou « NIS2 » dans un contexte de tensions géopolitiques grandissantes où cybermenaces et cyberattaques constituent désormais des outils de guerre.


À l’échelon national et au niveau international, plusieurs événements liés aux conflits ouverts, mais aussi à ceux de basse intensité ont accéléré le constat de certains échecs : des degrés de résilience variable des États et de certains de leurs services essentiels aux cyberattaques et au cyber-espionnage.


Un cadre juridique en évolution

En 2007 le pays s’est doté d’un cadre juridique portant sur la cryptographie, la signature électronique et la certification électronique avec la loi 53-05.  Le renforcement du cadre légal se poursuit en 2009 avec la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.


Ces lois ont été complétées depuis 2009 par un certain nombre de décrets et d’arrêtés dont les plus récents traitent plus particulièrement sur la protection des systèmes d’information des infrastructures d’importance vitale ( les installations, les ouvrages et les systèmes qui sont indispensables au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social, et dont le dommage ou l’indisponibilité ou la destruction aurait un impact induisant la défaillance de ces fonctions ).


Ensuite, le Maroc a adopté en 2012 d’une Stratégie nationale en matière de cybersécurité. Celle-ci a permis la création de la Directive Nationale de la Sécurité des Systèmes d’Information (DNSSI) qui décrit les mesures de sécurité organisationnelles et techniques qui doivent être appliquées par les organisations les plus sensibles.


S’en est suivie la création de plusieurs autres organisations, dont la Direction générale de sécurité des systèmes d’information (DGSSI), qui de son côté, oblige désormais tous les Organismes d’importance vitale (OIV) – qui relèvent de l’ordre de la sûreté nationale (citoyenne, sanitaire et militaire) – à s’équiper en système de sécurité informatique.


Le maCERT (Moroccan Computer Emergency Response Team) est quant à lui en charge de la veille, de la détection et de la réponse aux cyberattaques. L’Agence Nationale de Réglementation des Télécommunications (ANRT) est chargée de la régulation et de la réglementation du secteur des télécommunications.


Par ailleurs, la Commission nationale de contrôle de la protection des Données à caractère Personnel (CNDP) a pour responsabilité le contrôle du respect de la législation en matière de protection des données personnelles.


En mai dernier, le Maroc a signé à Strasbourg, le 2ème protocole additionnel à la Convention de Budapest sur la cybercriminalité, relatif au renforcement de la coopération et de la divulgation de preuves électroniques.


Dans un discours en présence du Secrétaire général du Conseil de l'Europe, le ministre de la justice Abdellatif Ouahbi avait souligné l’importance qu’accorde le Royaume à l’exploration d’une nouvelle dimension de la coopération judiciaire, à travers les mécanismes de ce protocole.


Celui-ci prévoit une base juridique pour la divulgation des informations relatives à l’enregistrement des noms de domaine et pour la coopération directe avec les fournisseurs de services pour les informations sur les abonnés, des moyens efficaces pour obtenir des informations sur les abonnés et des données relatives au trafic, la coopération immédiate en cas d’urgence, des outils d’entraide, mais aussi des garanties en matière de protection des données à caractère personnel.


La souveraineté économique en jeu

L’évolution graduelle du cadre réglementaire marocain est louable, mais demeure encore en-deçà des exigences souhaitées. Le Maroc est un partenaire de l’UE dans divers domaines et sa coopération avec les 27, en dépit des vicissitudes conjoncturelles est exemplaire dans le sens où il bénéficie d’un statut avancé avec l’Union.


Cela l’engage à mettre à niveau son dispositif textuel autant que ces mécanismes de réplique à toute menace cybernétique pouvant écorner sa réputation d’Etat fiable. Cette fiabilité est d’autant plus cruciale pour le Royaume s’agissant d’un récipiendaire de premier plan d’investissements directs étrangers (IDE) émanant de l’UE, comme il est le réceptacle de donneurs d’ordres en matière de commerce avec l’Europe.


Si la question des hôpitaux et des cyberattaques dont ils font l’objet est souvent citée en rapport des données personnelles de santé, le tissu économique, notamment celui des PME est loin d’être soumis aux règles de base en la matière, y compris celles liées à la sécurisation des données personnelles.


Or, les entreprises privées sont énormément touchées par les cyberattaques qui ne concernent pas que les données personnelles mais peuvent être liées à des données économiques, à des brevets, à des données techniques liées aux chaînes d’approvisionnement, de production, etc.


Le cadre réglementaire de cyber protection ne s’impose donc plus comme une seule mesure de sécurité informatique, mais aussi et comme une mesure de sécurité économique. Dans ce sens, la directive NIS2 sur la cybersécurité adoptée par le Conseil de l’UE destinée à améliorer la résilience et les capacités de réponse aux incidents dans l'UE devrait servir de base de référence aux mesures de gestion des risques de cybersécurité et des obligations de déclaration dans tous les secteurs dits sensibles comme l'énergie, les transports, la santé et les infrastructures numériques à adopter par le Maroc.


Au-delà de ces secteurs dits de première ligne, pourraient même s’ajouter suivant l’exemple français : les assurances, les organismes sociaux, les organismes de gestion de l’emploi et de la formation professionnelle, le traitement des eaux non potables, les opérateurs chargés du parcours éducatif national et de l’organisation d’examens nationaux, la restauration collective destinée aux secteurs de la santé, de l’enfance et de la détention pénitentiaire, etc.


L’objectif réaliste serait d’harmoniser les exigences et les mesures en matière de cybersécurité du Maroc avec ceux des États membres de l’UE en établissant des règles minimales pour un cadre réglementaire et en définissant des mécanismes pour une coopération efficace entre les autorités compétentes.


Aussi, une mise à jour de la liste des secteurs et des activités soumis à des obligations en matière de cybersécurité devrait être engagée tout comme l’établissement d’une coopération active avec le futur European Cyber Crises Liaison Organization Network (EU-CyCLONe), un réseau européen d'organisations de liaison en cas de cyber-crises pour soutenir la gestion coordonnée des incidents et des crises de cybersécurité à grande échelle.


Une des mesures phare de la NIS2 européenne introduit une « règle de taille » pour identifier les entités réglementées, ce qui vise à garantir la proportionnalité, un niveau plus élevé de gestion des risques et des critères de criticité bien définis pour permettre aux autorités nationales de déterminer les entités couvertes.


Les entités essentielles et importantes devront désormais prendre des mesures techniques et organisationnelles appropriées pour gérer les risques liés à la sécurité de leurs réseaux et de leurs systèmes d’information.


Elles devront couvrir, au minimum, les aspects liés à l’analyse et à l’évaluation des risques encourus, à la gestion des incidents cyber, à la continuité des activités et à la gestion des crises en cas d’attaque, à l’utilisation de solutions de contrôle des accès, et enfin à la sécurité de la chaîne d’approvisionnement (incluant donc notamment la question des fournisseurs, des sous-traitants et des prestataires de services).


Ici encore, le Maroc devra s’adapter à cette contingence ce qui renforcera la confiance mutuelle et l'apprentissage des bonnes pratiques et des expériences inspirées de celles de l'UE, contribuant ainsi à atteindre un niveau commun élevé de cybersécurité.

©️ Copyright Pulse Media. Tous droits réservés.
Reproduction et diffusions interdites (photocopies, intranet, web, messageries, newsletters, outils de veille) sans autorisation écrite