Pour renforcer la confiance numérique des citoyens, le Maroc a accru son arsenal juridique de sorte à réprimer toute fraude. Les peines et amendes encourues peuvent être très lourdes, selon la gravité des faits. Les innovations pour la sécurisation des paiements jouent un rôle important dans cette confiance numérique pour contrer l'ingéniosité des cybercriminels. Le Maroc figure parmi les pays en dehors de l'Union Européenne à avoir ratifié la Convention n°185 de l'Union européenne sur la cybercriminalité et son protocole additionnel. Il s'agit du premier traité international sur les infractions pénales commises via Internet et d'autres réseaux informatiques, traitant en particulier des infractions portant atteinte aux droits d'auteurs, de la fraude liée à l'informatique, de la pornographie enfantine, ainsi que des infractions liées à la sécurité des réseaux. Ledit protocole contient également une série de pouvoirs de procédures, tels que la perquisition de réseaux informatiques et l'interception. Son principal objectif, énoncé dans le préambule, est de poursuivre «une politique pénale commune destinée à protéger la société contre le cybercrime, notamment par l'adoption d'une législation appropriée et la stimulation de la coopération internationale». Aussi, le Royaume a-t-il également ratifié la Convention des pays arabes en la matière. Toutes ces ratifications entrent dans le cadre des efforts fournis pour construire et renforcer la confiance numérique et lutter sévèrement contre la cybercriminalité. Dans ce sens, il faut souligner que sur le plan réglementaire national, l'adoption de la loi n°07-03 complémentant le Code pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisé des données, a ouvert le bal à un renfoncement du cadre réglementaire avec l'adoption entre autres de la loi n°09-08 relative à la protection des personnes physiques à l'égard des traitements des données à caractère personnel, de la loi n°53-05 relative à l'échange électronique des données juridiques et sur un plan plus large encore de la loi n°31-08 édictant des mesures de protection du consommateur, plus particulièrement les dispositions relatives à la vente en ligne. Et les peines d'emprisonnement et le montant des amendes sont particulièrement lourds selon la gravité des faits. Les autorités veillent au grain La répression des infractions liées à la criminalité informatique est une nouvelle tâche qui vient s'ajouter à la longue liste des missions qui incombe à la police, à la gendarmerie et au ministère de la Justice. Les acteurs de la monétique connaissent pertinemment le rôle clé que jouent les autorités pour veiller au grain. D'ailleurs, le Directeur général du Centre Monétique Interbancaire, Mikael Naciri, saluait sur nos colonnes les efforts des autorités qui font un travail remarquable en termes de lutte contre les cybercriminels en général, et les fraudeurs à la carte bancaire, en particulier. «Je pourrai vous citer plusieurs cas de réseaux organisés qui ont été démantelés par la police ou la gendarmerie, qui étaient spécialisés dans l'utilisation de cartes – ou de numéros de cartes - étrangères volées, mais aussi des petits escrocs qui se retrouvent derrière les barreaux pour des tentatives, souvent avortées, d'utilisation frauduleuse de cartes», explique-t-il. Le CMI est d'ailleurs parfois sollicité, en tant qu'acteur de référence du secteur, pour son expertise par les autorités de police lors de certaines enquêtes ou instructions. «Nous apportons chaque fois que possible notre soutien pour aider à élucider certaines affaires, et quand nous détectons des tentatives frauduleuses, nous n'hésitons pas à alerter aussi bien les banques des porteurs concernés que les autorités, et nous insistons pour que les personnes lésées portent plainte systématiquement», ajoute Mikael Naciri, qui conclut : «Les lois n°09-08 et n°31-08 qui portent, quant à elles, sur la protection des consommateurs et des données personnelles, participent au renforcement de la confiance numérique et favorisent l'usage du paiement en ligne. Elles s'adressent particulièrement aux sites marchands qui sont susceptibles de détenir des données sur les cyberacheteurs. Il faut savoir qu'au niveau du CMI, nous n'avons aucune visibilité sur l'identité du porteur de la carte lors d'une transaction monétique. Nous gérons seulement le numéro de carte, et de surcroit il est crypté au niveau de nos systèmes d'information, conformément aux normes et standards internationaux». Les innovations à la rescousse Les dernières technologies telles que EMV, PCI DSS, masquage du numéro de cartes, outils de supervision de la fraude, 3DSecure sont autant d'innovations mises en place pour sécuriser les opérations monétiques aussi bien dans le réel que dans le virtuel. Il faut rappeler dans ce sens que la sécurisation des transactions monétiques est de la responsabilité de l'ensemble des intervenants dans le cycle de production et de gestion de la carte bancaire : la banque, la société qui personnalise les cartes, le commerçant, le CMI, les fournisseurs de TPE et de logiciels, et enfin le porteur de la carte. Chacun de ces intervenants doit mettre en place les moyens, comportements et outils nécessaires pour assurer la sécurité de la transaction. «Il existe des standards de sécurité spécifiques à cette activité qui est couverte par des normes (PA DSS, PTS, PCI DSS,... ) auxquelles nous nous conformons. Nous veillons également à ce que les intervenants dans le processus soient conformes à ces standards», explique le Directeur général du CMI dont les équipes s'attèlent à la sécurité des transactions. Et l'une des révolutions qu'avait connues le paysage monétique au Maroc est bel et bien le passage à la carte à puce avec PIN sécurisé (norme EMV), supplantant ainsi la carte à piste magnétique qui présente plus de risques (skimming au niveau des GAB, duplication etc.). Cette innovation a contribué sérieusement à la diminution du risque au niveau du paiement sur TPE. Selon les experts du secteur, la conformité à la norme PCI DSS permet également de renforcer la sécurité des données et des plateformes de traitement grâce à des procédures très strictes et des équipements de pointe. Pour ce qui est du paiement en ligne qui présentait jusque-là les risques les plus importants, le paysage bancaire et les acteurs du e-commerce (PSP, CMI, banques) ont mis en place des dispositifs, notamment 3Dsecure, qui permettent aux e-acheteurs de s'authentifier par le billet d'un code secret dédié à ces opérations d'achat sur Internet. Cette authentification permet notamment de s'assurer que c'est bien le porteur de la carte qui effectue la transaction. «Nous travaillons en ce moment avec les différentes parties prenantes pour déployer au plus vite ces dispositifs», assure Mikael Naciri. Au-delà des aspects techniques, le CMI a développé une expertise reconnue en termes de lutte contre la fraude. Ainsi, près de 10 collaborateurs sont en charge de ces aspects, supervisent et analysent chaque jour les transactions «suspectes». «Nous avons mis en place des outils d'alerte permettant de détecter ces transactions en fonction de plusieurs critères (montants, secteurs d'activité à risques, vélocité des transactions, tentatives multiples, etc.). Nos équipes bénéficient d'une mise à jour régulière de leurs connaissances en termes de lutte contre la fraude pour pouvoir répondre au mieux et s'adapter aux techniques des cybercriminels dont l'ingéniosité et la capacité d'adaptation surprennent tous les experts», conclut-il.