Après l’entrée en vigueur du décret relatif à l’application de la loi n°05-20
L’écosystème national de la cybersécurité se consolide. De nouvelles dispositions prennent forme, notamment après l’entrée en vigueur du décret n° 2-21-406 relatif à l’application de la loi n°05-20 relative à la cybersécurité. Ce texte approuvé lors du Conseil des ministres du 28 juin 2021 vise à définir les mesures de protection des systèmes d’information des administrations de l’Etat, des établissements et entreprises publics et toute autre personne morale de droit public, ainsi que ceux des infrastructures d’importance vitale et des opérateurs privés. A cet effet, la définition des orientations nationales en matière de sécurité des systèmes d’information est confiée à l’autorité gouvernementale chargée de l’Administration de la défense nationale.
Cette instance a également pour mission d’instaurer les règles organisationnelles et techniques à l’application desquelles doivent veiller les administrations publiques, les collectivités territoriales, les institutions et entreprises publiques ainsi que toute personne morale soumise au droit public. Le décret définit aussi le cadre général de classification des données et des systèmes d’information de ces entités. Cette classification s’établit sur la base de l’analyse d’impacts des incidents susceptibles de porter atteinte aux besoins de sécurité. Se référant au décret, la Direction générale de la sécurité des systèmes d’information procède à l’élaboration des règles de sécurité devant être appliquées en tenant compte des différents niveaux de classification des systèmes d’information et données. «Chaque entité ou infrastructure d’importance vitale désigne un responsable de la sécurité du système d’information, chargé principalement de définir et d’analyser les défis et dangers de la cybersécurité auxquels fait face cette entité ou infrastructure, ainsi que de définir les objectifs de la cybersécurité, la mise en place et le suivi de la politique de la sécurité de son système d’information ainsi que la présentation de rapports réguliers relatifs aux menaces y afférentes», peut-on déduire du décret. S’agissant des dispositions propres aux opérateurs, le texte juridique insiste sur la conformité aux orientations de l’autorité nationale. Citons particulièrement celles relatives à la conservation des données techniques nécessaires à la définition et l’analyse de tout incident de cybersécurité.
A cela s’ajoute la prise de mesures de protection nécessaires pour la préservation et la neutralisation des effets des menaces ou des infractions portant atteinte aux systèmes d’information de leurs clients.
«A cet effet, l’autorité nationale est qualifiée pour mettre en place des outils techniques sur les réseaux publics des communications et des réseaux des fournisseurs des services internet exclusivement en vue de détecter les événements susceptibles d’influer sur la sécurité des systèmes d’information des clients des opérateurs, des entités et des infrastructures d’importance vitale», relève-t-on dudit décret. Le renforcement du secteur national passe également par l’instauration d’un système de qualification des prestataires dans les domaines de détection des incidents de cybersécurité, d’analyse, d’investigation et de réaction auxdits incidents. L’obtention de cette qualification est tributaire d’un bon nombre de critères, en l’occurrence la disponibilité chez le demandeur de l’expertise et de la qualification requises ainsi que des outils lui permettant d’assurer l’exploitation et la gestion des services de détection et d’analyse des incidents de la cybersécurité.
[box type= »custom » bg= »#fddeef » radius= »5″]
Les organes de gouvernance
Le décret définit en outre les organes chargés de la cybersécurité ainsi que leur composition et modalité de leur fonctionnement. Citons en premier l’Autorité nationale de cybersécurité et à laquelle est confiée la mise en œuvre de la stratégie de l’Etat dans le domaine de la cybersécurité. Cette instance réfère en effet à la Direction générale de la sécurité des systèmes d’information (DGSSI). Le deuxième organe de gouvernance n’est tout autre que le comité stratégique de la cybersécurité dont la création est dictée par l’article 35 de la loi n°05-20. Le comité se compose des différents départements gouvernementaux et des institutions concernées. Cet organe peut créer tout comité qu’il estime nécessaire pour la réalisation de ses missions. Citons à cet égard le comité de gestion des crises et événements cybernétiques majeurs. Un comité dont la mission est d’instaurer un cadre qui définit les responsabilités des membres et des mesures relatives à la gestion des crises et des modalités de communication et d’échanges des informations.
[/box] [box type= »custom » bg= »#fdd8c6″ radius= »5″]Les audits désormais possibles
Les systèmes d’information sensibles des infrastructures d’importance vitale sont, désormais, soumis à un audit réalisé par l’autorité nationale ou les prestataires d’audit qualifiés par ladite autorité. Se référant au décret n° 2-21-406, cet audit concerne les domaines d’organisation, d’architecture, d’élaboration, du code source, des tests d’intrusion et des systèmes industriels. Dans ce cadre, le texte définit les conditions de qualification des prestataires d’audit de la sécurité des systèmes d’information. Ainsi, les prestataires doivent être constitués sous forme de société de droit marocain, avoir une expertise dans l’audit de la sécurité des systèmes d’information et disposer d’une structure organisationnelle dédiée exclusivement à l’audit de la sécurité des systèmes d’information. Ils doivent par ailleurs remplir les conditions figurant dans le référentiel d’exigences des prestataires d’audit de la sécurité des systèmes d’information. De même, les prestataires doivent être qualifiés au minimum dans trois domaines d’audit parmi ceux prévus au titre du présent décret et disposer d’un auditeur au minimum par domaine de qualification demandé.
Le texte fixe par ailleurs les modalités de préparation des dossiers de demande de qualification et leurs dépôts auprès de la DGSSI. Cette Direction générale invite le prestataire d’audit, demandeur de qualification, à effectuer une évaluation de ses services par l’une des entités accréditées et selon un référentiel des exigences des prestataires d’audit qu’elle élabore à cette fin.