Selon la première déclinaison marocaine de l’étude du cabinet de conseil et d’audit PwC «The Global State of Information Security Survey», la cybersécurité est désormais un enjeu majeur pour les entreprises au Maroc.
Digitalisation, réglementation de certains secteurs et directives nationales poussent aujourd’hui les entreprises à renforcer leurs dispositifs en matière de protection des données. Cette prise de conscience et ces efforts doivent néanmoins se poursuivre.
L’étude affirme que dans un contexte de transformation digitale de plus en plus prégnant, les entreprises marocaines prennent conscience des risques encourus et des enjeux en matière de cybersécurité. Cependant, 70% des répondants déclarent que leur stratégie de cybersécurité n’est pas implémentée à une vitesse suffisante. L’utilisation de logiciels malveillants est citée comme vecteur principal des cyberattaques au sein de l’entreprise au Maroc. En effet, 25% des entreprises interrogées estiment que ceux-ci sont à l’origine des incidents de sécurité subis en 2017.
Face à ces constats, les entreprises marocaines ont consacré en 2017 à leur cybersécurité des budgets en hausse significative par rapport à 2016, largement supérieurs au panel mondial (11% du budget IT au Maroc contre 4% dans le monde).
Ce budget demeure tout de même insuffisant aux yeux de 72% des répondants. D’après Nabil Kettani, associé Digital & Experience chez PwC au Maroc, «les entreprises marocaines font face à de nouveaux challenges et à une pression importante liée à l’ouverture de multiples chantiers de digitalisation. Malgré un budget sécurité paraissant relativement significatif par rapport au budget IT, cette pression et cette multiplicité des sujets adressés dans un timing court induisent cette perception de budget insuffisant». Ce sont en majorité les grandes entreprises qui se montrent proactives et qui prennent la mesure du risque cyber.
La majorité des entreprises considère encore la cybersécurité comme un problème purement technique et non relevant de la gouvernance d’entreprise. De fait, 75% des entreprises sondées déclarent avoir désigné un responsable de la sécurité des systèmes d’information (RSSI) rattaché à leur Direction des systèmes d’information (DSI) et non au comité de direction. Seulement 25% des organisations qui ont défini une gouvernance en ont approuvé son cadre au niveau du comité de direction.
70% des entreprises interrogées déclarent avoir détecté moins de 50 incidents de sécurité au cours des 12 derniers mois, tandis que 10% n’en déclarent aucun. 39% d’entre elles ne sont par ailleurs pas capables d’identifier l’origine des incidents en matière de cybersécurité.
L’étude révèle également que les entreprises n’ont pas toutes mené une analyse de risques sur leurs infrastructures internes et sur leurs prestataires.
