Cyberattaques : quelle responsabilité pour les conseils d'administration ?

Alors que le Maroc affronte une crise cyber sans précédent, les conseils d'administration (CA) doivent passer de la supervision à l'action stratégique. Mustapha El Maach rappelle leur obligation fiduciaire. Votre entreprise est-elle la prochaine cible ? Zoom sur les sept piliers cyber pour un CA résilient… à implémenter avant la prochaine attaque.
Et si les conseils d'administration (CA) marocains étaient aussi coupables des failles cyber ? Plongée dans une gouvernance défaillante que la loi 05-20 pourrait sanctionner. La recrudescence des cyberattaques visant les institutions marocaines depuis avril 2025 – de la CNSS aux notaires via la plateforme Tawtik – jette une lumière crue sur la vulnérabilité numérique nationale.
Au-delà des aspects techniques, cette crise soulève une question fondamentale de gouvernance d'entreprise : quelle est la responsabilité des organes dirigeants, notamment les CA, face à cette menace systémique ? Comme le souligne Mustapha El Maach, directeur juridique et expert en gouvernance et technologies numériques, «la cybersécurité s'impose aujourd'hui comme un enjeu stratégique majeur, à la croisée des chemins entre technologie, droit, gouvernance d'entreprise et responsabilité sociétale».
La résilience d'une organisation se mesure désormais à sa capacité à affronter les crises cybernétiques, un indicateur clé de sa solidité institutionnelle. Loin d'être une affaire réservée aux seuls responsables ou directeurs des systèmes d'information (DSI), la maîtrise du risque cyber engage désormais la responsabilité pleine et entière des organes de gouvernance, érigée au rang d'obligation fiduciaire.
Au Maroc, cette responsabilité, bien que le cadre juridique soit encore en construction, s'ancre dans plusieurs textes fondamentaux : la loi 17-95 sur les sociétés anonymes (notamment ses articles 69, 76 et 352), le Dahir des Obligations et Contrats (article 78), la loi 09-08 sur la protection des données et la loi 05-20 sur la cybersécurité.
Complétée par des référentiels comme les Principes de l'OCDE ou les codes de l'AMMC et de la CGEM, cette mosaïque normative dessine un paysage où «la cybersécurité est indissociable d'une gouvernance efficace, moderne et responsable», comme le rappelle El Maach. Face à la multiplication des incidents, sept responsabilités cardinales incombent aux CA, selon Mustapha El Maach.
Les conseils d'administration en première ligne
Selon l'expert, la première responsabilité incombant au conseil d'administration est stratégique. Son argument est que le CA doit intégrer la cybersécurité au cœur de la vision et de la stratégie long terme de l'entreprise, conformément à l'article 69 de la loi 17-95.
«Elle ne saurait être reléguée au rang de simple fonction de support technique», insiste El Maach.
Il s'agit d'en faire un levier de compétitivité et de confiance, non un centre de coût, en allouant les ressources humaines et budgétaires adéquates et en alignant la politique cyber sur les objectifs digitaux et de création de valeur.
La deuxième responsabilité du CA est intégrée à la gestion des risques. La gestion du risque cyber doit être pleinement intégrée au contrôle interne (art. 76 loi 17-95), reconnaissant sa spécificité (rapidité, asymétrie, impact systémique). Cela nécessite des dispositifs de détection, d'analyse et de reporting intelligible pour les comités (audit, risques). La vigilance s'étend impérativement aux tiers (cloud, SaaS).
«Il appartient au conseil d'administration d'imposer une due diligence renforcée» sur les fournisseurs critiques, avec des clauses contractuelles strictes (sécurité, audit, SLA, notification), comme l'exige aussi l'article 13 de la loi 05-20 pour les opérateurs vitaux.
La troisième responsabilité du conseil d'administration (CA) est juridique. Partant du principe que la conformité est une obligation non négociable, le CA a le devoir impérieux de faire respecter le cadre légal (national et international) pour prévenir les contentieux lourds (violation de confidentialité, manquement à la sécurité, atteinte aux droits).
La loi 05-20 (art. 26-34) impose des obligations strictes de conformité et de notification aux opérateurs essentiels. L'article 78 du DOC et l'article 352 de la loi 17-95 exposent directement les administrateurs à une responsabilité civile, voire pénale, pour négligence ou faute de gestion.
«La conformité réglementaire ne peut être une option… Une posture de gouvernance passive face à des exigences connues constituerait une négligence manifeste», avertit El Maach.
Ainsi, veille juridique, cartographie des obligations et procédures documentées sont indispensables.
Quatre impératifs du CA à l'ère numérique
Le quatrième volet sur lequel le CA est responsable est celui de la compétence, notamment comprendre pour bien gouverner.
«Le conseil ne peut gouverner efficacement ce qu'il ne comprend pas», affirme l'expert.
L'acculturation numérique du CA est une exigence : formations régulières (cyber, IA, gouvernance des données), intégration de profils technologiques dans le CA ou ses comités, et évaluation périodique des compétences collectives. Une compréhension qui s'avère être cruciale pour poser les bonnes questions, auditer les dispositifs et orienter les stratégies.
A cela s'ajoute la responsabilité fiduciaire, autrement dit «garantir la survie de l'entreprise». Le devoir fiduciaire inclut désormais impérativement la préparation à la crise cyber et la garantie de continuité d'activité. Le CA doit valider et superviser des Plans de Continuité d'Activité (PCA) et des Plans de Réponse aux Incidents (PRI) robustes et alignés sur les enjeux métiers.
L'expert rappel que «la gouvernance de la continuité repose sur trois piliers : la planification, l'entraînement et la traçabilité».
Ainsi, des simulations périodiques impliquant les dirigeants et un retour d'expérience documenté sont essentiels. Une réponse désorganisée constitue une faute de gouvernance menaçant la survie de l'entreprise. La cinquième responsabilité du CA est celle de la transparence, notamment communiquer avec rigueur et célérité.
En cas d'incident, le CA doit garantir une communication rigoureuse et rapide, dépassant la simple gestion de crise pour relever d'un principe de redevabilité. Cela implique des protocoles clairs pour notifier les violations aux autorités (CNDP) et informer le marché conformément aux règles de l'AMMC si la société est cotée.
«L'objectif n'est pas seulement de respecter une obligation formelle, mais de préserver un capital réputationnel», souligne Mustapha El Maach.
En effet, il important d'insister sur le fait que l'opacité ou les retards aggravent la crise. Et pour finir, la responsabilité éthique du conseil d'administration est en jeu. Face aux technologies émergentes (IA, blockchain, IoT), le CA doit veiller à ce que l'innovation ne se fasse pas au détriment des droits fondamentaux, de l'équité ou de la loyauté. «Ces défis […] sont éthiques». Ce qui nécessite une gouvernance des données et des algorithmes fondée sur la transparence, la non-discrimination et la redevabilité, via par exemple des comités d'éthique numérique ou des chartes responsables, s'inspirant des Principes de l'OCDE sur l'IA.
Après la CNSS, le secteur foncier touché
Depuis avril 2025, le Maroc fait face à une recrudescence de cyberattaques visant ses institutions publiques et ses professions réglementées. Le premier est la CNSS (Caisse nationale de sécurité sociale). Le 8 avril 2025, la CNSS a été victime d'une cyberattaque majeure, avec une fuite massive de données sensibles, revendiquée par le groupe de hackers Jabaroot DZ.
En ce début de mois de juin 2025, une nouvelle attaque vient d'être revendiquée par le même groupe, qui affirme avoir piraté la base de données de l'Agence nationale de la conservation foncière, du cadastre et de la cartographie (ANCFCC). Toutefois, l'ANCFCC a officiellement démenti que ses propres serveurs aient été infiltrés. Les investigations pointent plutôt vers une faille dans une plateforme externe utilisée par les notaires, appelée Tawtik.
La fuite concernerait 713 comptes de notaires dont les données circulent désormais sur le dark web, selon plusieurs sources concordantes. Les documents piratés incluent des certificats de propriété, des contrats et des pièces d'identité, mais ils ne proviennent pas directement des serveurs de l'ANCFCC. L'audit mené par la Direction générale de la sécurité des systèmes d'information (DGSSI) vient de confirmer la faille au niveau de la plateforme Tawtik, exploitée par des notaires.
Un impératif de gouvernance à l'ére numérique
Disons que l'actualité récente des cyberattaques au Maroc n'est pas qu'un défi technique ; c'est un révélateur puissant de la maturité de la gouvernance des entreprises.
Comme le conclut Mustapha El Maach de manière lapidaire et sans appel : «L'échec en cybersécurité n'est pas un échec technique, c'est un échec de gouvernance».
Les conseils d'administration marocains sont désormais en première ligne. Leur responsabilité est pluridimensionnelle – stratégique, fiduciaire, juridique, éthique. S'en emparer activement, avec compétence et lucidité, n'est plus un choix mais une condition sine qua non de la résilience, de la confiance des parties prenantes et, in fine, de la performance durable des entreprises marocaines dans un environnement numérique de plus en plus hostile. Gouverner le risque cyber, c'est désormais gouverner l'entreprise tout court.
Bilal Cherraji / Les Inspirations ECO