Après l'entrée en vigueur du décret relatif à l'application de la loi n°05-20 L'écosystème national de la cybersécurité se consolide. De nouvelles dispositions prennent forme, notamment après l'entrée en vigueur du décret n° 2-21-406 relatif à l'application de la loi n°05-20 relative à la cybersécurité. Ce texte approuvé lors du Conseil des ministres du 28 juin 2021 vise à définir les mesures de protection des systèmes d'information des administrations de l'Etat, des établissements et entreprises publics et toute autre personne morale de droit public, ainsi que ceux des infrastructures d'importance vitale et des opérateurs privés. A cet effet, la définition des orientations nationales en matière de sécurité des systèmes d'information est confiée à l'autorité gouvernementale chargée de l'Administration de la défense nationale. Cette instance a également pour mission d'instaurer les règles organisationnelles et techniques à l'application desquelles doivent veiller les administrations publiques, les collectivités territoriales, les institutions et entreprises publiques ainsi que toute personne morale soumise au droit public. Le décret définit aussi le cadre général de classification des données et des systèmes d'information de ces entités. Cette classification s'établit sur la base de l'analyse d'impacts des incidents susceptibles de porter atteinte aux besoins de sécurité. Se référant au décret, la Direction générale de la sécurité des systèmes d'information procède à l'élaboration des règles de sécurité devant être appliquées en tenant compte des différents niveaux de classification des systèmes d'information et données. «Chaque entité ou infrastructure d'importance vitale désigne un responsable de la sécurité du système d'information, chargé principalement de définir et d'analyser les défis et dangers de la cybersécurité auxquels fait face cette entité ou infrastructure, ainsi que de définir les objectifs de la cybersécurité, la mise en place et le suivi de la politique de la sécurité de son système d'information ainsi que la présentation de rapports réguliers relatifs aux menaces y afférentes», peut-on déduire du décret. S'agissant des dispositions propres aux opérateurs, le texte juridique insiste sur la conformité aux orientations de l'autorité nationale. Citons particulièrement celles relatives à la conservation des données techniques nécessaires à la définition et l'analyse de tout incident de cybersécurité. A cela s'ajoute la prise de mesures de protection nécessaires pour la préservation et la neutralisation des effets des menaces ou des infractions portant atteinte aux systèmes d'information de leurs clients. «A cet effet, l'autorité nationale est qualifiée pour mettre en place des outils techniques sur les réseaux publics des communications et des réseaux des fournisseurs des services internet exclusivement en vue de détecter les événements susceptibles d'influer sur la sécurité des systèmes d'information des clients des opérateurs, des entités et des infrastructures d'importance vitale», relève-t-on dudit décret. Le renforcement du secteur national passe également par l'instauration d'un système de qualification des prestataires dans les domaines de détection des incidents de cybersécurité, d'analyse, d'investigation et de réaction auxdits incidents. L'obtention de cette qualification est tributaire d'un bon nombre de critères, en l'occurrence la disponibilité chez le demandeur de l'expertise et de la qualification requises ainsi que des outils lui permettant d'assurer l'exploitation et la gestion des services de détection et d'analyse des incidents de la cybersécurité.
