L'attaque informatique de grande ampleur ayant frappé le site de la Caisse nationale de sécurité sociale (CNSS) le 8 avril a mis à nu l'extrême vulnérabilité d'une institution dont la mission, éminemment sensible, touche à l'intimité économique et sociale de millions de citoyens. Cette effraction numérique, aux conséquences possiblement durables, appelle des éclaircissements urgents quant à la gouvernance des systèmes d'information de l'organisme public. Car, à rebours de l'idée d'un dispositif démuni, l'année 2024 fut marquée par l'octroi de deux marchés publics directement liés à la protection cybernétique. Le premier — appel d'offres n° 96/2024 — portait sur l'acquisition d'un système de prévention contre les intrusions (solution de prévention contre les intrusions) pour un montant de 1,6 million de dirhams, assorti d'un contrat de maintenance annuelle chiffré à 480 000 dirhams. Le second — appel d'offres n° 12/2024 — avait trait à l'audit des pratiques de sécurité du système d'information de la CNSS (audit des pratiques de sécurité des systèmes d'information) et s'est traduit par un engagement de 2,75 millions de dirhams. L'enveloppe totale s'élève donc à 4,8 millions de dirhams sur un seul exercice. Ces chiffres, loin d'être négligeables, contrastent avec l'indigence apparente du résultat obtenu. Et pour cause : les modalités mêmes de l'attribution des marchés jettent une ombre sur leur régularité. Dans les deux cas, une seule offre a été examinée. Pour le premier, une entreprise concurrente a été écartée dès la phase de vérification administrative et technique ; pour le second, un unique soumissionnaire s'est présenté — lequel s'est vu confier la prestation. Ce désintérêt manifeste du reste du secteur, dans un domaine pourtant foisonnant de compétences et d'opérateurs, interroge. Il paraît invraisemblable que les sociétés spécialisées n'aient pas eu connaissance de ces appels d'offres, publiés conformément à la réglementation. L'explication la plus plausible renvoie à la pratique, désormais bien connue, des marchés fléchés : des appels à concurrence rédigés de manière à n'être véritablement accessibles qu'à un prestataire donné ou à une technologie particulière. La législation interdit, certes, toute mention de marques commerciales ou de références exclusives. Mais rien n'est plus aisé que de contourner cette condition par l'exigence de spécifications techniques calibrées à dessein. Il arrive même que certains prestataires, pressentis de manière officieuse, soient impliqués en amont dans la rédaction des cahiers des charges, verrouillant de facto l'accès au marché. Aucune information ne permet d'affirmer, en l'état, que tel a été le cas au sein de la CNSS. Toutefois, l'opacité qui entoure ces procédures, conjuguée au contexte d'un piratage aux effets délétères, impose que toute la lumière soit faite — non seulement pour situer les responsabilités, mais pour poser les fondements d'un redressement durable. Car il serait vain de prétendre à la souveraineté numérique en perpétuant des logiques d'éviction et de rente. L'égalité d'accès à la commande publique, la probité dans la dépense et l'exemplarité dans le choix des prestataires doivent être rétablies en principes cardinaux. Le scandale de la CNSS, s'il devait en rester un, serait celui d'un aveuglement persistant à l'égard des pratiques délétères qui gangrènent l'appareil administratif.
