Les fuites de données qui ont frappé la Caisse nationale de sécurité sociale (CNSS) révèlent une faille d'architecture plus qu'un simple incident. Elles placent au centre du débat la question de la gouvernance numérique des services publics. L'incident survenu dans les systèmes de la CNSS a mis au jour un défaut de protection que plus rien ne permet d'ignorer. Plus qu'une défaillance ponctuelle, cette fuite massive de données interroge les fondations techniques sur lesquelles repose la gestion numérique de certains services publics. Le fait que les fichiers aient été rendus publics, sans passer par les circuits discrets de revente clandestine, a élargi la portée de l'intrusion. En exposant à découvert les informations personnelles de milliers d'assurés, les auteurs – identifiés par les spécialistes comme «hacktivistes» – ont mis à nu plusieurs fragilités dans l'architecture informatique de l'institution en charge du système de sécurité sociale. «Il faut s'attendre à une panoplie d'attaques, particulièrement centrées sur l'usurpation d'identité», analyse Abdessamad El Amrani, expert en sécurité des systèmes complexes. La portée de cet acte, inédit dans sa forme, ne tient pas tant à la quantité de données extraites qu'à l'absence de cloisonnement et à l'architecture dépassée des systèmes ciblés. Face à cette exposition brutale, dans un réflexe défensif, la CNSS a suspendu certaines fonctionnalités de ses services en ligne. «Le service doit être sécurisé avant même son déploiement», souligne l'expert, rappelant que la sécurité ne peut plus être pensée de manière préventive. Une analyse plus fine de l'incident conforte ce diagnostic. L'hypothèse d'une attaque sophistiquée semble écartée par les spécialistes de la cybersecurité. Badr Bellaj, expert en technologies décentralisées, plaide en faveur d'une négligence dans la gestion des accès ou une mauvaise configuration. «Le niveau de protection est resté en deçà des standards, particulièrement sur l'interface utilisateur», souligne-t-il. «Il pourrait s'agir d'une mauvaise configuration des API», précise-t-il. Une erreur banale, mais lourde de conséquences. Perte de souveraineté Cette vulnérabilité technique en révèle une autre, la pénurie de profils qualifiés. «Le Maroc n'est pourtant pas mauvais élève en matière de cybersécurité. Le vrai problème, c'est l'accès aux compétences», explique Badr. Le niveau général de sécurité est honorable, mais les besoins croissants des institutions ne trouvent pas toujours réponse dans le vivier local. Cette situation pousse de nombreuses entités publiques à externaliser la gestion de leurs systèmes à des prestataires privés, quitte à y perdre en maîtrise et, à terme, en souveraineté. Cette dépendance affecte également la réactivité. La première communication officielle n'est intervenue qu'au bout de vingt-quatre heures, laissant un vide propice à la spéculation. «Une réponse efficace suppose une transparence totale, des consignes claires, et une prise de parole immédiate», insiste Badr. Ce silence initial a sans doute pesé davantage que la brèche elle-même. Depuis, la CNSS a lancé un appel d'offres pour renforcer ses dispositifs de prévention, avec une enveloppe de 2,6 millions de dirhams dédiée à une solution de type DLP. Ce geste marque une volonté de redressement, mais ne saurait tenir lieu de stratégie. Pour les experts interrogés, seule une remise à plat des pratiques, des procédures et de la culture organisationnelle permettra de restaurer durablement la confiance. Cet épisode rappelle que la cybersécurité ne se joue pas seulement dans les lignes de code. Elle engage des arbitrages, et interroge surtout la manière dont est organisée la gestion de ses systèmes d'information, et souligne que la réponse aux risques numériques dépasse largement le seul champ technique. Ayoub Ibnoulfassih / Les Inspirations ECO
