Le Maroc envoie un message ferme aux parties libyennes alignées sur des agendas étrangers : notre position est stricte contre les projets régionaux suspects    Premier au niveau mondial : le Maroc se prépare à lancer des produits innovants à base de cannabis : chocolat, farine et café    Funérailles à Casablanca de l'acteur feu Mohamed El Khalfi    Botola : Le Raja Casablanca bat le Chabab Mohammedia    Régionalisation avancée : Nouveau coup de pouce pour autonomiser les Régions    Régionalisation avancée : Qui sème, récolte...    Les Etats-Unis approuvent la vente d'armements au Maroc d'une valeur de 86 millions de dollars... Des armes de précision de dernière génération    Le succès de la réunion consultative libyenne au Maroc irrite à Tripoli    Nouveau séisme de magnitude 6,1 au large du Vanuatu    La population de l'Afrique devrait atteindre en 2050 quelque 2,5 milliards d'habitants, avec un âge médian de 20 ans    Guercif: Franc succès de la quatrième édition des jeux nationaux des Appelés    Conseil de sécurité: Blinken se félicite du partenariat avec le Maroc sur l'Intelligence artificielle    Pharma 5 : un médicament à base de cannabis pour le traitement des formes d'épilepsie rebelles    Islamophobic extremist : Unraveling the Magdeburg attacker's motives    Le Maroc alloue 11 milliards de dirhams à la modernisation des bus urbains avant le Mondial    Belle semaine pour la Bourse de Casablanca    Selon le New York Times, «le Maroc a bien saisi que le football, au-delà d'un simple jeu, constitue un levier stratégique de développement économique et diplomatique»    «La région de Dakhla a un avenir radieux»    Les enjeux du Grand Maghreb et de l'Afrique : Le Maroc entre construction et progrès... et l'Algérie prisonnière de politiques hostiles et stériles    Le Maroc : Leadership diplomatique et rayonnement international sous la conduite de Sa Majesté le Roi Mohammed VI    «Une démocratie solide et une bonne gouvernance pour un développement véritable»    Un chantier royal au service de l'essor du continent africain    Pedro Sanchez : «L'Espagne apprécie hautement les efforts de Sa Majesté le Roi en faveur de la stabilité régionale»    Le Conseil fédéral suisse adopte sa nouvelle stratégie pour l'Afrique 2025-2028    Quatre ans après le 22 décembre 2020, quelle grande et incontournable alliance que celle établie entre Rabat, Washington et Tel-Aviv    SM le Roi Mohammed VI reçoit Mohamed Ould Cheikh El Ghazouani, Président de la République Islamique de Mauritanie    Ouverture de la billetterie    Le Raja Casablanca se sépare de Sá Pinto    Basket. DEX (H)/ J9: Hier, l'ASS a dompté le WAC ! Cet après-midi, le derby de Rabat au programme    Botola D1. J15 (Acte II): Les locaux favoris ce dimanche!    Liga. J18 (Acte II) : Le Real vise les 3 points et la 1ère marche du podium    Conflit d'intérêt et impunité    Le président français à Addis-Abeba pour une visite de travail officielle en Ethiopie    Casablanca intègre le réseau mondial C40 des villes engagées dans la lutte contre le changement climatique    Prévisions météorologiques pour le lundi 23 décembre 2024    Canada. Une marocaine au gouvernement de Justin Trudeau    MAGAZINE : Nour-Eddine Saïl, un hommage en contreplongée    Musique : Les notes jazz de l'arganier    Exposition : Yamou paysagiste de l'essentiel    DGI : principaux points des mesures fiscales de la LF 2025    L'acteur marocain Mohamed El Khalfi n'est plus    Essaouira et Tétouan mutualisent leurs atouts pour un partenariat de la nouvelle génération (M. Azoulay)    Mpox en Afrique : 69 211 cas dont 1 260 décès depuis début 2024    En présence des banquets de kif et des rêves d'enfance    Barid Al-Maghrib lance une émission spéciale de timbre intitulé « Le Malhoun, patrimoine culturel immatériel de l'humanité »    Les températures attendues ce samedi 21 décembre 2024    Le temps qu'il fera ce samedi 21 décembre 2024    Le Sun Festival de Marrakech célèbre les cultures actuelles    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Cybersécurité : Pourquoi le Maroc veut verrouiller son Cloud [INTEGRAL]
Publié dans L'opinion le 19 - 11 - 2024

Le 18 octobre, en Conseil des ministres présidé par Sa Majesté le Roi Mohammed VI, un projet de décret concernant l'hébergement dans le Cloud des données sensibles a été adopté. Ce texte vient combler un vide juridique et pallier une vulnérabilité dans les infrastructures numériques nationales.
En 2024, le Maroc a enregistré pas moins de 644 cyberattaques, selon les chiffres révélés par Abdellatif Loudiyi, ministre délégué chargé de la Défense nationale. L'intensification de ces attaques, en constante augmentation d'année en année, témoigne clairement du fait qu'elles ne sont plus le seul fait de cybercriminels isolés, mais bien d'acteurs étatiques menant contre notre pays une véritable guerre de cinquième génération.
Le Royaume a pris les devants dès 2020 en adoptant la loi n° 05-20 relative à la cybersécurité. Ce cadre juridique confie la protection des infrastructures numériques nationales à la Direction générale de la sécurité des systèmes d'information (DGSSI), rattachée à la Défense nationale. Cette loi dispose en outre que toutes les données sensibles doivent être exclusivement hébergées sur le territoire national, assurant ainsi la souveraineté sur ces informations critiques.

Points de vulnérabilité
Les administrations publiques et les entreprises stratégiques concernées n'ont que deux options : soit construire leurs propres infrastructures pour y stocker leurs données, soit faire appel à des prestataires externes qui louent une partie de leurs capacités de stockage, une solution communément appelée Cloud (ou informatique en nuage).
Exit les géants du Cloud tels qu'Amazon Web Services, Microsoft Azure ou Google Cloud Platform : les institutions concernées ne peuvent faire appel qu'à des prestataires de services Cloud marocains ou opérant au Maroc. Plusieurs entreprises locales ont effectivement vu le jour ces dernières années, affichant des capacités souvent très inégales. Cependant, le secteur évolue encore dans un cadre flou, marqué par l'absence de règles claires et de normes strictes pour encadrer leurs activités et garantir un niveau de sécurité suffisant.
"Chaque service ou application Cloud ajouté crée de nouveaux points d'entrée potentiels pour les cyberattaques. Les environnements Cloud, souvent complexes et hétérogènes, peuvent rendre difficile la gestion de ces points d'accès, augmentant ainsi le risque d'exposition des données sensibles", alerte le professeur et expert en cybersécurité, Younès Felahi.
Ces vulnérabilités peuvent ouvrir la voie à divers types de violations de sécurité, allant des fuites et détournements de données sensibles et personnelles, à l'interception de données en transit (attaques de type Man in the Middle). Elles peuvent même compromettre l'intégrité du système, comme lors des attaques par déni de service distribué (DDoS) dont l'agence MAP a été victime en février 2023.

Talon d'Achille
Selon plusieurs acteurs du secteur consultés par «L'Opinion», le Cloud était devenu le talon d'Achille de la cybersécurité nationale, au point où certaines institutions hautement stratégiques hésitaient à confier leurs données à des prestataires externes. Ce vide juridique vient d'être comblé avec l'adoption, le 18 octobre en Conseil des ministres, du projet de décret n° 2-24-921.
Ce texte concerne le recours, par les entités ou infrastructures d'importance vitale disposant de systèmes d'information ou de données sensibles, aux prestataires de services Cloud. Il prévoit, entre autres, la mise en place d'un régime de qualification pour ces prestataires et définit les règles encadrant leur sélection.
"Le secteur du Cloud est en pleine expansion, mais il existe une grande disparité dans les pratiques commerciales et les niveaux de service. Un cadre juridique spécifique aide à réguler le marché en établissant des règles claires sur les droits et obligations des parties, ce qui contribue à une concurrence équitable", explique notre expert.

Normes internationales
Selon la DGSSI, ce nouveau régime permettra de disposer de garanties sur la compétence des prestataires Cloud et de leur personnel, sur la qualité des mesures organisationnelles et techniques mises en place, et, globalement, sur la confiance qui peut leur être accordée.
Plusieurs certifications de sécurité existent déjà et peuvent servir de référence au nouveau régime instauré par le décret n° 2-24-921, notamment la norme internationale ISO/IEC 27001, qui porte sur les systèmes de gestion de la sécurité de l'information (SGSI) et offre un cadre pour gérer la sécurité des données, ainsi que la norme ISO 22301 pour les systèmes de management de la continuité d'activité.
Quant à la DGSSI, l'article 19 de la loi 05-20 relative à la cybersécurité dispose qu'elle doit homologuer la sécurité de tout système d'information sensible avant sa mise en exploitation. L'institution délivre également la qualification PASSI pour labelliser les prestataires d'audit de la sécurité des systèmes d'information.
Palliant le vide juridique qui existait jusqu'alors, Bank Al-Maghrib avait pris l'initiative de publier en mai 2022 une directive établissant les règles minimales pour l'externalisation vers le Cloud par les établissements de crédit. Avec ce nouveau décret, le secteur bancaire, ainsi que d'autres systèmes vitaux tels que celui de la Santé, sera dorénavant soumis à cette nouvelle réglementation.

Mise à niveau
À l'entrée en vigueur du nouveau décret, les entreprises et institutions concernées devront revoir leur manière de stocker leurs données, tandis que les prestataires de services Cloud opérant sur le territoire marocain devront renforcer leurs mesures et normes de sécurité pour se conformer à la nouvelle législation. Mais en auront-ils les capacités techniques et financières ?
"En réalité, et d'un point de vue terrain, il est très difficile de traiter spécifiquement les données sensibles, car elles sont souvent intégrées dans des systèmes contenant également d'autres données moins sensibles", explique le professeur et expert en cybersécurité, Younès Felahi.
"Cette situation fait que la majorité des entreprises disposant d'infrastructures d'importance vitale n'adoptent pas le Cloud et peinent à définir une trajectoire digitale pour soutenir leurs activités dans un monde plus que jamais agile et compétitif (time to market, agilité, DevOps, réduction des coûts, avec un cœur de métier autre que l'IT...)", poursuit-il.

3 questions à Younès Felahi : "Le décret vise à introduire des obligations claires pour les prestataires de services Cloud"
* Quel vide juridique le projet de décret n° 2-24-921 viendra-t-il combler ?

- Avant ce décret, il n'existait pas de réglementation spécifique au Cloud au Maroc, laissant un vide en matière de protection des données au niveau du Cloud et de responsabilité des prestataires. Les contrats standardisés offerts par les fournisseurs Cloud étrangers ne prenaient souvent pas en compte les spécificités du marché marocain ni les besoins des utilisateurs. Le décret vise à introduire des obligations claires pour les prestataires concernant la sécurité des données et la transparence dans leurs pratiques commerciales. Cela inclut entre autres la nécessité d'informer clairement les clients sur les conditions de service et sur les frais associés au transfert ou à la résiliation. Avec la montée en puissance de réglementations internationales telles que le RGPD en Europe, le Maroc a besoin d'un cadre juridique qui aligne ses pratiques sur celles d'autres pays, facilitant ainsi le commerce international et la coopération en matière de cybersécurité.

* En quoi le recours aux services Cloud introduit-il de nouveaux défis en matière de cybersécurité ?

- Les infrastructures Cloud modernes sont souvent composées de multiples services (IaaS, PaaS, etc.), chacun ayant ses propres exigences de sécurité. Cette diversité complique la gestion et la sécurisation des environnements, rendant difficile l'identification et la remédiation des vulnérabilités. De plus, l'intégration de services Cloud avec des systèmes existants peut créer des interdépendances complexes qui augmentent le risque de vulnérabilités cachées. Le modèle de responsabilité partagée dans le Cloud signifie que bien que les fournisseurs gèrent la sécurité physique et l'infrastructure, les clients restent responsables de la sécurité de leurs données. Cela pouvait créer une fausse impression de sécurité si les entités ne comprenaient pas clairement leurs responsabilités.

* Quels mécanismes de contrôle doivent-ils être mis en place ?

- Les audits réguliers réalisés par des auditeurs indépendants sont essentiels pour évaluer la conformité des prestataires aux normes de sécurité. Ces audits doivent porter sur l'environnement de contrôle interne, l'accès à la piste d'audit et la sécurité des installations. De plus, la réalisation régulière de tests de pénétration et de simulations d'attaques permet d'évaluer la résilience des systèmes et d'identifier les vulnérabilités avant qu'elles ne soient exploitées par des attaquants.

DGSSI : La Stratégie Nationale de Cybersécurité 2030
Le Cloud (ou informatique en nuage) est une technologie permettant de stocker et d'accéder à des données et applications via Internet, plutôt que sur son propre ordinateur ou serveur local. En d'autres termes, au lieu de sauvegarder des fichiers uniquement sur un disque dur, on peut les héberger à distance dans des centres de données gérés par des fournisseurs tels que Google Cloud Plateform, Amazon Web Services (AWS) ou Microsoft Azure.
L'un des principaux avantages du Cloud est la possibilité d'accéder aux données à tout moment et depuis n'importe quel endroit, à condition d'avoir une connexion Internet. Par exemple, un utilisateur peut consulter et modifier ses documents sur Google Drive ou ses photos sur iCloud depuis son smartphone, sa tablette ou son ordinateur.
Le Cloud présente des avantages financiers et opérationnels pour les entreprises. En déplaçant leurs opérations vers le Cloud, elles réduisent leurs coûts en évitant d'investir dans des infrastructures physiques. De plus, le Cloud leur permet de s'adapter rapidement à la demande en augmentant ou diminuant les ressources disponibles selon les besoins, un principe appelé scalabilité.
Cependant, le Cloud pose des défis, notamment en matière de sécurité des données et de dépendance vis-à-vis des fournisseurs de services Cloud. C'est pourquoi de nombreuses entreprises optent pour des solutions de Cloud privé, qui leur permettent de conserver un contrôle complet sur leurs données et systèmes, ou pour des modèles de Cloud hybride, qui combinent des ressources locales et des ressources Cloud publiques, ce qui permet plus de flexibilité.
Systèmes informatiques : Qu'est-ce que le Cloud ?
La Stratégie Nationale de Cybersécurité 2030 repose sur quatre piliers principaux pour assurer un cyberespace marocain sécurisé et résilient. Le premier pilier, dédié à la gouvernance, vise à renforcer le cadre juridique et institutionnel, en adaptant régulièrement les normes et en promouvant la coordination entre les entités publiques et privées.
Le deuxième pilier se concentre sur la sécurité et la résilience du cyberespace, avec des actions pour protéger les infrastructures vitales (IIV) par des audits, la certification et des mesures de prévention contre les incidents cybernétiques. Le troisième pilier met l'accent sur le développement des capacités, avec un renforcement des cursus universitaires et la sensibilisation de la population aux risques cyber.
Enfin, le quatrième pilier prône la coopération internationale, en participant aux forums régionaux et en établissant des partenariats bilatéraux. En tout, cette stratégie comprend 11 objectifs stratégiques et 26 initiatives, déclinées en 60 actions.


Cliquez ici pour lire l'article depuis sa source.