Dans le cadre de son plan d’action de l’année 2021 et en vue de mettre à jour la stratégie nationale de cybersécurité 2012, la DGSSI vient de lancer une étude visant à évaluer les risques cybernétiques au niveau national conformément à la méthodologie NCRA.
Un virus informatique peut stopper net la continuité ou le fonctionnement d’un service. La cybercriminalité peut coûter cher à une structure si elle ne s’immunise pas contre les tentatives malveillantes en ligne. Ce phénomène concerne aussi bien les entreprises privées que les entités publiques. Au Maroc, la Direction générale de la sécurité des systèmes d’information (DGSSI) assiste les administrations publiques ainsi que le secteur privé pour la mise en place de la sécurité de leur système d’information.
Dans le cadre de son plan d’action de l’année 2021 et en vue de mettre à jour la stratégie nationale de cybersécurité 2012, la DGSSI vient de lancer une étude visant à évaluer les risques cybernétiques au niveau national conformément à la méthodologie NCRA (National Cyber Risk Assessment). Inscrite dans le cadre d’une action de coopération avec le gouvernement du Royaume-Uni, cette étude se base sur un questionnaire interactif d’autoévaluation permettant d’évaluer la sensibilité et la criticité des systèmes d’information appartenant aux secteurs jugés stratégiques pour l’Etat et d’identifier par la suite les risques et les menaces pesant sur lesdits systèmes, et ce selon une approche déclarative.
«Au cours des 3 dernières années, cette étude a été utilisée avec succès dans plusieurs pays et plusieurs organisations en Europe, au Moyen-Orient et en Afrique. Elle se présente comme une étape cruciale pour le développement de cyber-stratégies, et permet de mettre en œuvre des projets de renforcement des cyber-capacités et de suivi de progrès en matière d’atténuation des risques», indique la DGSSI. Cette Direction travaille également sur la capacité de développer la maturité du Maroc en matière de cybersécurité. Il s’agit de développer une politique et une stratégie de cybersécurité, d’encourager une culture responsable de la cybersécurité au sein de la société, renforcer les connaissances et les capacités en matière de cybersécurité et maîtriser les risques grâce aux normes et aux technologies. En plus de la loi adoptée par le Maroc dans le domaine de la cybersécurité (loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et la loi 07-03 concernant les atteintes aux systèmes de traitement automatisé des données), il est nécessaire de mettre en application la loi 09-08. En effet, les magistrats ne se réfèrent toujours pas au droit commun pour incriminer les actes de cybercriminalité. «Des efforts devraient être consacrés également à la sensibilisation des entreprises afin de les inciter à investir suffisamment dans la cybersécurité.
En plus de former des ingénieurs dans la sécurité des systèmes d’information de cybersécurité, il s’avère intéressant de puiser dans le bassin des hackers repentis pour améliorer notre capacité en ressources humaines», relève le dernier rapport économique et financier accompagnant le projet de loi de Finances 2022 ajoutant par ailleurs que dans le domaine de la protection des données à caractère personnel, la loi 09-08 mérite d’être mise à jour, «en s’inspirant du règlement général sur la protection des données (RGPD) de l’Union européenne.
[box type= »custom » bg= »#fddeef » radius= »5″]Ce que dit la loi
L’Administration de la défense nationale (Direction générale de la sécurité des systèmes d’information) est l’autorité nationale de la cybersécurité.
De même, l’autorité gouvernementale chargée de l’administration de la défense nationale a pour mission de définir les orientations nationales en matière de sécurité des systèmes d’information et d’instaurer les règles organisationnelles et techniques à l’application desquelles doivent veiller les entités que sont les administrations publiques, les collectivités territoriales, les institutions et entreprises publiques ainsi que toute personne morale soumise au droit public.
Par ailleurs, la DGSSI procède à l’élaboration des règles de sécurité devant être appliquées. Au vu de la loi n°05-20, la cybersécurité est identifiée comme étant l’ensemble de mesures, procédures, concepts de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques, et technologies permettant à un système d’information de résister à des évènements issus du cyberespace, susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ce système offre ou qu’il rend accessibles.
Pour sa part, ce texte de loi définit la cybercriminalité comme étant l’ensemble des actes contrevenant à la législation nationale ou aux traités internationaux ratifiés par le Maroc, ayant pour cible les réseaux ou les systèmes d’information ou les utilisant comme moyens de la commission d’un délit ou d’un crime.
En revanche la cybermenace est assimilée à toute action qui vise à compromettre la sécurité d’un système d’information en altérant la disponibilité, l’intégrité ou la confidentialité d’un système ou de l’information qu’il contient. Notons que cette même loi prévoit des amendes qui vont de 100.000 à 400.000 DH en cas de violation de ses dispositions.
[/box]
