Cybersécurité : La CNSS va se doter d’une cartographie des risques informatiques

La cartographie des risques IT est un outil de gestion des risques qui consiste à identifier, évaluer et hiérarchiser les menaces potentielles qui pèsent sur le système d’information.

Sécurité : Après la cyberattaque en avril dernier ayant entraîné une fuite des données personnelles, la CNSS a décidé de renforcer la gouvernance des risques IT.

La Caisse nationale de sécurité sociale (CNSS) a été confrontée en avril dernier à un incident majeur de fuite de données suite à une cyberattaque. La CNSS a jugé qu’il est devenu impératif de renforcer la gouvernance des risques IT et de mettre en conformité les systèmes avec les exigences réglementaires de la DGSSI (direction générale de la sécurité des systèmes d’information) et de la DNSSI ( Directive nationale de la sécurité des systèmes d’information). Un appel d’offres a ainsi été lancé dans l’objectif de doter la CNSS d’une cartographie des risques IT complète, structurée, actualisée et alignée sur les bonnes pratiques en matière de cybersécurité. A noter que la cartographie des risques IT est un outil de gestion des risques qui consiste à identifier, évaluer et hiérarchiser les menaces potentielles qui pèsent sur le système d’information d’une organisation. A noter que le montant des prestations a été établie à 600.000 DH.

Dans le cadre de ce marché, la mission confiée au prestataire a pour principaux objectifs de réaliser une revue critique de la cartographie actuelle des risques IT ; d’identifier, évaluer, classifier et hiérarchiser l’ensemble des risques IT existants et potentiels. Le prestataire devra réviser les dispositifs de maîtrise des risques associés à chaque risque identifié ; aligner la cartographie des risques avec le Plan de continuité d’activité et le Plan de secours informatique et produire une cartographie consolidée répondant aux normes et aux exigences réglementaires (DNSSI, DGSSI). Enfin, un programme de formation et de sensibilisation des équipes sera mis en place sur les bonnes pratiques, les enjeux et les objectifs. Signalons que le périmètre de la mission du prestataire couvre l’ensemble des systèmes d’information de la CNSS incluant notamment les applications critiques et vitales exposées aux réseaux interne et externe; les infrastructures techniques sous-jacentes (serveurs, base de données, réseaux) ; les processus métiers supportés par les SI ; les données sensibles manipulées (données personnelles, financières..) ; les environnements de production, pré-production et de test.

Dans le cadre de ce marché, le prestataire s’engage à ne pas divulguer, reproduire, ni communiquer tout ou une partie des informations confidentielles à quelque tiers que ce soit, sauf accord préalable de la CNSS. Il devra restreindre l’accès aux informations confidentielles aux seuls membres de son équipe directement impliqués dans la prestation, qui seront tenus aux mêmes obligations de confidentialité. Il s’engagera à utiliser les informations confidentielles exclusivement pour l’exécution des tâches prévues au contrat de prestation de cartographie des risques SI. Pour rappel, la CNSS a été victime d’une cyberattaque en avril 2025, entraînant une fuite de données personnelles sur les réseaux sociaux, bien que la CNSS ait indiqué que ces données pouvaient être fausses ou tronquées. En réponse, la CNSS a renforcé ses mesures de sécurité et limité l’accès à certaines fonctionnalités de ses portails, et a appellé ses assurés à la vigilance, en changeant leurs mots de passe et en se méfiant des messages suspects.