CAN U17 : L'Egypte décroche le dernier billet qualificatif pour la CDM    Finances publiques : Un excédent budgétaire de 5,9 MMDH à fin mars    Avant sa participation au Gitex 2025, Kaspersky dévoile les chiffres de la cybersécurité en Afrique : 66 millions de clics sur des liens frauduleux entre 2023 et 2024    Alger fulmine contre la mise en examen en France d'un agent consulaire soupçonné d'implication dans l'enlèvement d'un opposant en exil    À Marseille, un clandestin algérien menace le vice-consul du Maroc et blesse un agent de sécurité    Le gouvernement a opéré une révolution dans l'Enseignement et la Santé    CNSS : Après le grand "leak", des appels d'offres juteux sous les projecteurs    Filière apicole : Ces pluies qui redonnent des ailes aux abeilles [INTEGRAL]    Décret 2-24-921 : Un acte fondateur pour la souveraineté numérique du Maroc    Botola D1 / J26 : Ce samedi, soirée de Derby au '' Stade d'Honneur'' !    Basket African League / FUS - Stade Malien pour un tout petit espoir de qualification du Fath !    Le mythe des enfants zouhris et les trésors enfouis    En Afrique du Sud, une juge marocaine élue présidente de l'AIFJ    Des hackers marocains publient 34 Go de données sensibles du ministère algérien de l'Industrie pharmaceutique    Akhannouch exhorte les parlementaires RNI à monter au front pour contrer le « buzz politique »    La CDG du Maroc et la SVIJ de Jordanie entérinent un pacte de coopération technique et institutionnelle    Hackers marroquíes publican 34 GB de datos sensibles del Ministerio argelino de Industria Farmacéutica    Dissimulation fiscale à grande échelle : les professions libérales dans le viseur après la fuite explosive à la CNSS    Retour des pluies, voici les hauteurs enregistrées lors des dernières 24 heures    Accident d'un avion de la compagnie Air Océan à Fès : ouverture d'une enquête technique    La future station de dessalement de Tarfaya déclarée d'utilité publique    Diaspo #384 : Sossam, parcours magique de l'autodidacte d'Inezgane    Festival du livre de Paris : Invité pour la 2e fois, le Maroc est « fier et très honoré »    Taliouine Chinese Mining Company, nouvelle entité sino-marocaine pour l'extraction stratégique dans le Haut-Souss    Marsa Maroc pourvoit Casablanca d'une nouvelle structure logistique dotée de 300 000 dirhams    Rdv de L'Opinion : Décryptage des enjeux de la reprise parlementaire avec Allal Amraoui    L'armée algérienne finalement absente de l'African Lion 2025    Congrès américain : le Polisario risque d'être classé comme organisation terroriste    Le Chœur philarmonique du Maroc rend hommage aux King's Singers    Le caftan marocain déposé à l'UNESCO    Crash d'un avion près de l'Aéroport de Fès : 4 blessés et des dégâts matériels importants    CAN U17 : Ziyad Baha veut conserver le trophée    La Fairmont Morocco Golf Cup fait à Taghazout pour sa 5ème édition    Bourse de Casablanca : la sérénité est de retour pour 90 jours !    Tarifs douaniers américains : La guerre commerciale pourrait réduire de 0,7 % la croissance mondiale    Casablanca: interpellation d'un ressortissant français d'origine algérienne faisant l'objet d'un mandat d'arrêt international    Fortes pluies parfois orageuses, rafales de vent localement fortes avec chasse-poussières, de vendredi à dimanche, dans plusieurs provinces du Royaume (Bulletin d'alerte)    Un sénateur américain envisage de présenter un projet de loi classant le « Polisario » comme organisation terroriste    Le président Macron visite le pavillon du Maroc, invité d'honneur du Festival du livre de Paris    Mehdi Bensaid inaugure le Pavillon du Maroc, invité d'honneur du Festival du Livre de Paris 2025    L'Amérique du Sud soumet une candidature officielle pour un Mondial 2030 à 64 équipes    La Chine répond à l'escalade commerciale de Washington par un Livre blanc : un appel au dialogue et au multilatéralisme plutôt qu'à l'affrontement    Talbi Alami appelle à une mobilisation active pour un Maroc fort et unifié    CAN U17 (Quarts de finale): Le Maroc bat l'Afrique du Sud et va en demi-finale    Festival du Livre de Paris : Le choix du Maroc comme invité d'honneur s'inscrit dans la dynamique du partenariat bilatéral d'exception    Le Bénin crée le « Cotonou Comedy Festival »    Premier League : Mohamed Salah prolonge avec Liverpool au-delà de 2025    Festival du livre de Paris. La Kabylie expose en force    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Cybersécurité : Pourquoi le Maroc veut verrouiller son Cloud [INTEGRAL]
Publié dans L'opinion le 19 - 11 - 2024

Le 18 octobre, en Conseil des ministres présidé par Sa Majesté le Roi Mohammed VI, un projet de décret concernant l'hébergement dans le Cloud des données sensibles a été adopté. Ce texte vient combler un vide juridique et pallier une vulnérabilité dans les infrastructures numériques nationales.
En 2024, le Maroc a enregistré pas moins de 644 cyberattaques, selon les chiffres révélés par Abdellatif Loudiyi, ministre délégué chargé de la Défense nationale. L'intensification de ces attaques, en constante augmentation d'année en année, témoigne clairement du fait qu'elles ne sont plus le seul fait de cybercriminels isolés, mais bien d'acteurs étatiques menant contre notre pays une véritable guerre de cinquième génération.
Le Royaume a pris les devants dès 2020 en adoptant la loi n° 05-20 relative à la cybersécurité. Ce cadre juridique confie la protection des infrastructures numériques nationales à la Direction générale de la sécurité des systèmes d'information (DGSSI), rattachée à la Défense nationale. Cette loi dispose en outre que toutes les données sensibles doivent être exclusivement hébergées sur le territoire national, assurant ainsi la souveraineté sur ces informations critiques.

Points de vulnérabilité
Les administrations publiques et les entreprises stratégiques concernées n'ont que deux options : soit construire leurs propres infrastructures pour y stocker leurs données, soit faire appel à des prestataires externes qui louent une partie de leurs capacités de stockage, une solution communément appelée Cloud (ou informatique en nuage).
Exit les géants du Cloud tels qu'Amazon Web Services, Microsoft Azure ou Google Cloud Platform : les institutions concernées ne peuvent faire appel qu'à des prestataires de services Cloud marocains ou opérant au Maroc. Plusieurs entreprises locales ont effectivement vu le jour ces dernières années, affichant des capacités souvent très inégales. Cependant, le secteur évolue encore dans un cadre flou, marqué par l'absence de règles claires et de normes strictes pour encadrer leurs activités et garantir un niveau de sécurité suffisant.
"Chaque service ou application Cloud ajouté crée de nouveaux points d'entrée potentiels pour les cyberattaques. Les environnements Cloud, souvent complexes et hétérogènes, peuvent rendre difficile la gestion de ces points d'accès, augmentant ainsi le risque d'exposition des données sensibles", alerte le professeur et expert en cybersécurité, Younès Felahi.
Ces vulnérabilités peuvent ouvrir la voie à divers types de violations de sécurité, allant des fuites et détournements de données sensibles et personnelles, à l'interception de données en transit (attaques de type Man in the Middle). Elles peuvent même compromettre l'intégrité du système, comme lors des attaques par déni de service distribué (DDoS) dont l'agence MAP a été victime en février 2023.

Talon d'Achille
Selon plusieurs acteurs du secteur consultés par «L'Opinion», le Cloud était devenu le talon d'Achille de la cybersécurité nationale, au point où certaines institutions hautement stratégiques hésitaient à confier leurs données à des prestataires externes. Ce vide juridique vient d'être comblé avec l'adoption, le 18 octobre en Conseil des ministres, du projet de décret n° 2-24-921.
Ce texte concerne le recours, par les entités ou infrastructures d'importance vitale disposant de systèmes d'information ou de données sensibles, aux prestataires de services Cloud. Il prévoit, entre autres, la mise en place d'un régime de qualification pour ces prestataires et définit les règles encadrant leur sélection.
"Le secteur du Cloud est en pleine expansion, mais il existe une grande disparité dans les pratiques commerciales et les niveaux de service. Un cadre juridique spécifique aide à réguler le marché en établissant des règles claires sur les droits et obligations des parties, ce qui contribue à une concurrence équitable", explique notre expert.

Normes internationales
Selon la DGSSI, ce nouveau régime permettra de disposer de garanties sur la compétence des prestataires Cloud et de leur personnel, sur la qualité des mesures organisationnelles et techniques mises en place, et, globalement, sur la confiance qui peut leur être accordée.
Plusieurs certifications de sécurité existent déjà et peuvent servir de référence au nouveau régime instauré par le décret n° 2-24-921, notamment la norme internationale ISO/IEC 27001, qui porte sur les systèmes de gestion de la sécurité de l'information (SGSI) et offre un cadre pour gérer la sécurité des données, ainsi que la norme ISO 22301 pour les systèmes de management de la continuité d'activité.
Quant à la DGSSI, l'article 19 de la loi 05-20 relative à la cybersécurité dispose qu'elle doit homologuer la sécurité de tout système d'information sensible avant sa mise en exploitation. L'institution délivre également la qualification PASSI pour labelliser les prestataires d'audit de la sécurité des systèmes d'information.
Palliant le vide juridique qui existait jusqu'alors, Bank Al-Maghrib avait pris l'initiative de publier en mai 2022 une directive établissant les règles minimales pour l'externalisation vers le Cloud par les établissements de crédit. Avec ce nouveau décret, le secteur bancaire, ainsi que d'autres systèmes vitaux tels que celui de la Santé, sera dorénavant soumis à cette nouvelle réglementation.

Mise à niveau
À l'entrée en vigueur du nouveau décret, les entreprises et institutions concernées devront revoir leur manière de stocker leurs données, tandis que les prestataires de services Cloud opérant sur le territoire marocain devront renforcer leurs mesures et normes de sécurité pour se conformer à la nouvelle législation. Mais en auront-ils les capacités techniques et financières ?
"En réalité, et d'un point de vue terrain, il est très difficile de traiter spécifiquement les données sensibles, car elles sont souvent intégrées dans des systèmes contenant également d'autres données moins sensibles", explique le professeur et expert en cybersécurité, Younès Felahi.
"Cette situation fait que la majorité des entreprises disposant d'infrastructures d'importance vitale n'adoptent pas le Cloud et peinent à définir une trajectoire digitale pour soutenir leurs activités dans un monde plus que jamais agile et compétitif (time to market, agilité, DevOps, réduction des coûts, avec un cœur de métier autre que l'IT...)", poursuit-il.

3 questions à Younès Felahi : "Le décret vise à introduire des obligations claires pour les prestataires de services Cloud"
* Quel vide juridique le projet de décret n° 2-24-921 viendra-t-il combler ?

- Avant ce décret, il n'existait pas de réglementation spécifique au Cloud au Maroc, laissant un vide en matière de protection des données au niveau du Cloud et de responsabilité des prestataires. Les contrats standardisés offerts par les fournisseurs Cloud étrangers ne prenaient souvent pas en compte les spécificités du marché marocain ni les besoins des utilisateurs. Le décret vise à introduire des obligations claires pour les prestataires concernant la sécurité des données et la transparence dans leurs pratiques commerciales. Cela inclut entre autres la nécessité d'informer clairement les clients sur les conditions de service et sur les frais associés au transfert ou à la résiliation. Avec la montée en puissance de réglementations internationales telles que le RGPD en Europe, le Maroc a besoin d'un cadre juridique qui aligne ses pratiques sur celles d'autres pays, facilitant ainsi le commerce international et la coopération en matière de cybersécurité.

* En quoi le recours aux services Cloud introduit-il de nouveaux défis en matière de cybersécurité ?

- Les infrastructures Cloud modernes sont souvent composées de multiples services (IaaS, PaaS, etc.), chacun ayant ses propres exigences de sécurité. Cette diversité complique la gestion et la sécurisation des environnements, rendant difficile l'identification et la remédiation des vulnérabilités. De plus, l'intégration de services Cloud avec des systèmes existants peut créer des interdépendances complexes qui augmentent le risque de vulnérabilités cachées. Le modèle de responsabilité partagée dans le Cloud signifie que bien que les fournisseurs gèrent la sécurité physique et l'infrastructure, les clients restent responsables de la sécurité de leurs données. Cela pouvait créer une fausse impression de sécurité si les entités ne comprenaient pas clairement leurs responsabilités.

* Quels mécanismes de contrôle doivent-ils être mis en place ?

- Les audits réguliers réalisés par des auditeurs indépendants sont essentiels pour évaluer la conformité des prestataires aux normes de sécurité. Ces audits doivent porter sur l'environnement de contrôle interne, l'accès à la piste d'audit et la sécurité des installations. De plus, la réalisation régulière de tests de pénétration et de simulations d'attaques permet d'évaluer la résilience des systèmes et d'identifier les vulnérabilités avant qu'elles ne soient exploitées par des attaquants.

DGSSI : La Stratégie Nationale de Cybersécurité 2030
Le Cloud (ou informatique en nuage) est une technologie permettant de stocker et d'accéder à des données et applications via Internet, plutôt que sur son propre ordinateur ou serveur local. En d'autres termes, au lieu de sauvegarder des fichiers uniquement sur un disque dur, on peut les héberger à distance dans des centres de données gérés par des fournisseurs tels que Google Cloud Plateform, Amazon Web Services (AWS) ou Microsoft Azure.
L'un des principaux avantages du Cloud est la possibilité d'accéder aux données à tout moment et depuis n'importe quel endroit, à condition d'avoir une connexion Internet. Par exemple, un utilisateur peut consulter et modifier ses documents sur Google Drive ou ses photos sur iCloud depuis son smartphone, sa tablette ou son ordinateur.
Le Cloud présente des avantages financiers et opérationnels pour les entreprises. En déplaçant leurs opérations vers le Cloud, elles réduisent leurs coûts en évitant d'investir dans des infrastructures physiques. De plus, le Cloud leur permet de s'adapter rapidement à la demande en augmentant ou diminuant les ressources disponibles selon les besoins, un principe appelé scalabilité.
Cependant, le Cloud pose des défis, notamment en matière de sécurité des données et de dépendance vis-à-vis des fournisseurs de services Cloud. C'est pourquoi de nombreuses entreprises optent pour des solutions de Cloud privé, qui leur permettent de conserver un contrôle complet sur leurs données et systèmes, ou pour des modèles de Cloud hybride, qui combinent des ressources locales et des ressources Cloud publiques, ce qui permet plus de flexibilité.
Systèmes informatiques : Qu'est-ce que le Cloud ?
La Stratégie Nationale de Cybersécurité 2030 repose sur quatre piliers principaux pour assurer un cyberespace marocain sécurisé et résilient. Le premier pilier, dédié à la gouvernance, vise à renforcer le cadre juridique et institutionnel, en adaptant régulièrement les normes et en promouvant la coordination entre les entités publiques et privées.
Le deuxième pilier se concentre sur la sécurité et la résilience du cyberespace, avec des actions pour protéger les infrastructures vitales (IIV) par des audits, la certification et des mesures de prévention contre les incidents cybernétiques. Le troisième pilier met l'accent sur le développement des capacités, avec un renforcement des cursus universitaires et la sensibilisation de la population aux risques cyber.
Enfin, le quatrième pilier prône la coopération internationale, en participant aux forums régionaux et en établissant des partenariats bilatéraux. En tout, cette stratégie comprend 11 objectifs stratégiques et 26 initiatives, déclinées en 60 actions.


Cliquez ici pour lire l'article depuis sa source.