La cyberattaque contre la CNSS met en lumière la fragilité des infrastructures numériques marocaines. Revendiquée par un groupe de hackers algériens, elle s'inscrit dans une stratégie de guerre hybride. Face à cette menace, une riposte structurée et une gouvernance cyber renforcée s'imposent. La cyberattaque de grande ampleur dont a été victime la CNSS, le 9 avril courant, ne peut être comprise qu'à l'aune d'un contexte plus large : celui d'une guerre hybride menée contre notre pays et ses intérêts vitaux. En effet, ce piratage, revendiqué par le groupe de hackers algériens Jabaroot DZ, n'avait pour seuls objectifs que de nuire à l'Etat marocain et de le déstabiliser.
Les dégâts de cette opération sont considérables, puisque ce piratage a permis non seulement la fuite des informations personnelles de deux millions de citoyens, avec les conséquences économiques et sociales que cela implique, mais aussi de révéler toute la vulnérabilité des infrastructures numériques nationales.
L'autre objectif était de détourner l'attention d'un événement géopolitique et diplomatique majeur, puisque, au même moment où les fichiers piratés ont été publiés sur le réseau Instagram, le ministre des Affaires étrangères, Nasser Bourita, effectuait une visite à Washington, durant laquelle l'Administration américaine a réaffirmé son soutien à la marocanité du Sahara.
Un nouveau champ de bataille
Cette cyberattaque n'est qu'un épisode de plus dans l'offensive globale et multidimensionnelle menée par le régime algérien contre le Royaume, une offensive qui ne cesse de s'intensifier depuis plusieurs années. Selon les principes de la guerre hybride, aussi appelée guerre de cinquième génération, tous les domaines deviennent des terrains d'affrontement : l'information, par la diffusion de fake news, la culture, par le vol de patrimoine, et le numérique, à travers les cyberattaques visant les institutions stratégiques.
Ainsi, de la même manière que l'on protège nos frontières pour prévenir toute intrusion ennemie, il est impératif d'en faire autant pour notre espace numérique. La cyberattaque contre la CNSS n'était qu'un avertissement, prélude à d'autres opérations qui pourraient s'aggraver et gagner en intensité dans les mois à venir. Cet événement marquera-t-il enfin une prise de conscience face à ce danger ? Et surtout, comment se préparer efficacement aux menaces à venir ?
NSOC
Pour Younès Felahi, expert en cyber-sécurité et membre du réseau international CYAN (Cybersecurity Advisors Network), le chantier prioritaire est de repenser l'architecture de la cyber-sécurité au niveau national. "Il est crucial d'instaurer une gouvernance centralisée de la cyber-sécurité en s'appuyant sur la DGSSI, une autorité forte et légitime, chargée de coordonner les actions entre les secteurs critiques, et de piloter une cellule de veille et de réponse nationale", propose-t-il.
Dotée de moyens conséquents et d'une plus grande latitude d'action, la DGSSI, organisme rattaché à l'Administration de la Défense nationale, devrait intégrer un Centre national des opérations de sécurité (NSOC), chargé d'alerter les parties prenantes en cas d'incidents significatifs, de centraliser les alertes au sein d'une entité opérationnelle unique et de coordonner la réponse face aux situations émergentes, afin de limiter l'impact des incidents de sécurité.
Sur le modèle émirati, ce NSOC chapeauterait des centres opérationnels de sécurité (SOC) spécialisés dans les secteurs stratégiques susceptibles d'être ciblés par des cyberattaques, tels que les banques, l'énergie, les hôpitaux, etc. "Ces SOC sectoriels seraient capables de surveiller en temps réel les réseaux critiques, d'identifier les signaux faibles et de coordonner les réponses aux incidents", analyse Younès Felahi.
Audit global
Sur le plan technique, "une action urgente consiste à sécuriser les systèmes critiques par la cartographie des actifs sensibles, la segmentation des réseaux, la mise à jour des systèmes, le durcissement des accès (notamment via l'authentification multifacteurs), et l'élimination des services obsolètes exposés", poursuit notre expert. Pour ce faire, un audit global des infrastructures numériques doit être mené afin d'identifier les vulnérabilités existantes, évaluer les niveaux de criticité et prioriser les mesures de remédiation à déployer dans les meilleurs délais.
Pour limiter les vulnérabilités liées aux tiers, un nouveau décret est entré en vigueur en novembre 2024. Il instaure un régime de qualification des prestataires cloud et définit les règles de sélection de ces derniers pour la gestion des systèmes d'information et des données sensibles. Ce nouveau cadre permettra d'assurer des garanties sur la compétence des prestataires cloud et de leur personnel, sur la qualité des mesures organisationnelles et techniques mises en œuvre, et, plus globalement, sur le niveau de confiance qui peut leur être accordé.
Moyens humains
Enfin, pour renforcer nos lignes de défense contre les cyberattaques, il faut mobiliser les moyens nécessaires, qu'ils soient matériels ou humains. Pour ce qui est des moyens matériels, les administrations, notamment les plus sensibles, doivent disposer de ressources financières suffisantes pour renforcer leur cyber-sécurité, investir dans des infrastructures sécurisées, des outils de détection avancés et des systèmes de protection à jour. Or, "certaines administrations disposent encore de moyens très limités pour mettre en œuvre des solutions robustes", souligne Meriem Yacoubi, fondatrice du cabinet de consulting Disrupt, spécialisé en transformation digitale et cyber-sécurité.
Une cyber-sécurité de pointe nécessite également des profils pointus, et donc de former, recruter, et surtout retenir les talents nécessaires. "La demande en compétences cyber est en forte croissance à l'échelle mondiale, et de nombreux professionnels marocains sont sollicités par des opportunités plus avantageuses à l'étranger, que ce soit en termes de conditions de travail, de rémunération ou de perspectives de carrière", nous explique Younès Felahi.
"Si rien n'est fait pour valoriser davantage ces profils localement – que ce soit par des politiques d'attractivité, des environnements de travail stimulants, ou des parcours de progression clairs –, le risque est de voir une fuite continue de compétences stratégiques au moment même où les besoins internes explosent", poursuit-il.
Soufiane CHAHID 3 questions à Meriem Yacoubi : "Il est indispensable de disposer de capacités de réponse rapides et bien rodées" * Malgré l'adoption d'une Stratégie nationale de cyber-sécurité, pourquoi les institutions marocaines semblent-elles encore vulnérables face aux cyberattaques ? La maturité des institutions marocaines face aux cyberattaques est un sujet complexe présentant des défis considérables. Car en dépit d'une prise de conscience à l'échelle nationale des risques inhérents à l'utilisation des ressources informatiques, avec notamment l'intégration de la cyber-sécurité dans la Stratégie Nationale dès 2020, plusieurs aspects restent à renforcer pour sécuriser efficacement les systèmes et limiter les vulnérabilités face à des attaques de plus en plus sophistiquées.
* La gestion des incidents de sécurité est-elle aujourd'hui à la hauteur du niveau de menace ? L'une des lacunes majeures concerne justement cette gestion des incidents. Même si un cadre stratégique est mis en place, cela ne suffit pas. Le risque zéro n'existe pas, et les attaquants redoublent d'ingéniosité pour contourner les dispositifs. Il est donc indispensable de disposer de capacités de réponse rapides et bien rodées. Or, en l'absence de formations continues et de simulations régulières, la réactivité reste insuffisante, ce qui retarde la maîtrise des attaques et aggrave leurs impacts (fuite de données sensibles, interruption de services, etc.).
* Qu'en est-il des moyens humains et budgétaires déployés pour sécuriser les systèmes publics ? Le Maroc a accru ses efforts de formation en cyber-sécurité dans les administrations, mais plusieurs obstacles subsistent. Le premier est budgétaire : certaines administrations disposent encore de moyens très limités pour mettre en œuvre des solutions robustes. Le second concerne les compétences : il existe une forte disparité entre les administrations bien dotées en experts et celles qui peinent à recruter ou à fidéliser des profils qualifiés. Enfin, l'évolution rapide des menaces exige une mise à jour constante des outils et des formations, ce qui impose une veille technologique permanente.
Recueillis par S. J. 3 questions à Younès Felahi : "L'un des véritables défis réside dans la capacité à retenir les talents sur le territoire national" * Quelles seraient, selon vous, les premières mesures à mettre en œuvre pour renforcer la résilience de nos infrastructures numériques face aux cyberattaques ? Tout d'abord, il est crucial d'instaurer une gouvernance centralisée de la cyber-sécurité en s'appuyant sur la DGSSI, une autorité forte et légitime, chargée de coordonner les actions entre les secteurs critiques, et de piloter une cellule de veille et de réponse nationale. En parallèle, il faut renforcer les capacités de détection et de réaction rapide des infrastructures d'importance vitale du Royaume, en mettant en place un SOC national interconnecté à des SOC sectoriels, capables de surveiller en temps réel les réseaux critiques, d'identifier les signaux faibles et de coordonner les réponses aux incidents. Sur le plan technique, une action urgente consiste à sécuriser les systèmes critiques par la cartographie des actifs sensibles, la segmentation des réseaux, la mise à jour des systèmes, le durcissement des accès (notamment via l'authentification multifacteurs), et l'élimination des services obsolètes exposés. En complément, il est indispensable d'engager une campagne massive de sensibilisation et de formation auprès des agents publics, des professionnels IT et des utilisateurs, car la cyber-sécurité repose aussi sur une culture partagée et une vigilance collective. Enfin, la résilience repose sur la capacité à fonctionner même en cas d'attaque : il convient donc d'imposer des plans de continuité et de reprise d'activité (PCA/PRA), d'organiser régulièrement des exercices de simulation de crise cyber, et de préparer des dispositifs de communication pour préserver la confiance du public et limiter les effets de panique. Ces mesures, bien que d'urgence, doivent s'inscrire dans une logique de structuration à long terme, intégrée dans une stratégie de cyber-sécurité ambitieuse, fondée sur la souveraineté numérique, la montée en compétences, le partenariat public-privé et la coopération internationale.
* Peut-on affirmer que le Maroc accuse un véritable retard culturel en matière de cyber-sécurité, notamment dans la manière dont les risques sont perçus et anticipés ? Tous les acteurs ne se valent pas en matière de maturité et de préparation face aux risques numériques. Le secteur privé, notamment les grandes entreprises et les banques, a souvent été plus rapide à intégrer les enjeux de cyber-sécurité, poussé par des impératifs de conformité, de réputation et de continuité économique. Le secteur public, quant à lui, présente une maturité plus hétérogène, avec certains organismes très avancés, et d'autres encore vulnérables, notamment au niveau local. Quant aux citoyens, ils restent globalement le maillon le plus exposé, faute d'une sensibilisation systématique, de formations accessibles et d'une prise de conscience généralisée.
* Le Maroc dispose-t-il aujourd'hui des compétences humaines et techniques suffisantes pour faire face aux menaces cyber ? L'un des véritables défis réside dans la capacité à retenir ces talents sur le territoire national. La demande en compétences cyber est en forte croissance à l'échelle mondiale, et de nombreux professionnels marocains sont sollicités par des opportunités plus avantageuses à l'étranger, que ce soit en termes de conditions de travail, de rémunération ou de perspectives de carrière. Si rien n'est fait pour valoriser davantage ces profils localement – que ce soit par des politiques d'attractivité, des environnements de travail stimulants, ou des parcours de progression clairs –, le risque est de voir une fuite continue de compétences stratégiques au moment même où les besoins internes explosent.
