L'Observateur du Maroc et d'Afrique : Depuis quelques années, le Maroc investit dans la cybersécurité. Où en sommes-nous aujourd'hui ? Anas Motii : Le Maroc a effectivement multiplié les initiatives depuis une décennie. La création de la Direction générale de la sécurité des systèmes d'information (DGSSI), rattachée à la Défense nationale, a permis d'instaurer un cadre réglementaire et stratégique. On observe aussi une meilleure sensibilisation au sein de certaines administrations et entreprises. Mais les cybermenaces évoluent beaucoup plus vite que les moyens de défense. La récente attaque contre la CNSS, en est une illustration frappante. Elle a exposé des failles que l'on pensait corrigées, même si les détails techniques de l'attaque restent inconnus, et a rappelé que la vigilance doit être permanente. Cette attaque contre la CNSS a marqué les esprits. Peut-on en tirer des enseignements concrets ? Le premier constat, c'est que même les institutions les plus critiques peuvent être prises pour cibles et affectées. Selon les informations disponibles, un volume important de données sensibles aurait été exfiltré. Cela pose deux questions fondamentales : pourquoi cette exfiltration n'a-t-elle pas été détectée en temps réel ? Et quelle en a été la porte d'entrée ? Une hypothèse plausible serait une faille sur le site institutionnel, peut-être un défaut de mise à jour, ou une faiblesse dans le code. Cela rappelle l'importance d'un développement applicatif conforme aux standards de sécurité, comme ceux définis par l'OWASP. Beaucoup d'institutions négligent encore ces exigences techniques ou les sous-traitent sans contrôle de qualité approfondi. La technique ne fait pas tout. Quid de la dimension humaine? Peut-elle être un facteur de vulnérabilité ? C'est souvent le maillon le plus faible de la chaîne. Les attaques par phishing, par exemple, reposent presque exclusivement sur l'erreur humaine. Il suffit qu'un utilisateur ouvre un e-mail piégé, clique sur un lien malveillant ou télécharge une pièce jointe corrompue, et l'attaque est lancée. Il est donc indispensable de former les utilisateurs à repérer ces tentatives, à ne pas cliquer sans réfléchir, à signaler les comportements suspects. On doit installer une culture de la cybersécurité, où chacun comprend qu'il a un rôle à jouer. Cette sensibilisation doit être continue, car les techniques d'attaque deviennent plus subtiles et convaincantes. L'intelligence artificielle est de plus en plus utilisée dans le cyberespace. Est-ce un facteur aggravant ? L'IA est ambivalente. Elle peut aussi bien renforcer les systèmes de défense que les méthodes d'attaque. Du côté offensif, l'IA permet de produire des e-mails de phishing hyper personnalisés à partir des données disponibles sur les réseaux sociaux ou les bases de données volées. On parle alors de spear phishing, une attaque ciblée et redoutablement efficace. Elle permet aussi de générer de faux documents, de faux sites web ou des contenus frauduleux plus crédibles que jamais. Les deepfakes, par exemple, sont désormais utilisés pour manipuler la voix ou l'image d'une personne afin de soutirer des informations ou déclencher des ordres malveillants. Est-ce que le grand public est prêt à faire face à ce type de menaces ? Non, pas encore. Beaucoup de citoyens, mais aussi de responsables publics ou de chefs d'entreprise, restent vulnérables à des manipulations simples. Les deepfakes sont impressionnants de réalisme, mais le danger vient surtout de notre manque de réflexes. Si vous recevez une vidéo d'un ministre qui vous demande une faveur urgente, ou d'un supérieur hiérarchique qui vous somme de virer de l'argent sur un compte, il faut avoir le bon réflexe : douter, vérifier, recouper. Aujourd'hui, tout peut être falsifié. Il faut éduquer à l'ère de la simulation. L'outil peut mentir. Et dans le cyberespace, la vérité est devenue une denrée fragile. Peut-on aussi utiliser l'IA pour mieux se défendre ? Absolument, et c'est même indispensable. Les systèmes traditionnels de cybersécurité, basés sur des règles prédéfinies, ne suffisent plus. L'IA permet de mettre en place des mécanismes de détection comportementale. Cela signifie que le système apprend ce qui est normal et détecte automatiquement ce qui ne l'est pas. Par exemple, si un employé se connecte à 3h du matin depuis un autre pays, le système peut déclencher une alerte. L'IA permet aussi de croiser des milliards d'informations à une vitesse inégalée pour repérer les signaux faibles, anticiper les menaces et réagir plus vite. Cette course entre attaquants et défenseurs semble sans fin. Peut-on réellement prendre le dessus ? C'est une guerre d'usure et d'innovation. Chaque avancée technologique profite à la fois aux attaquants et aux défenseurs. Mais le rapport de force peut basculer si l'on mise sur l'anticipation. Par exemple, certaines entreprises utilisent déjà l'IA pour détecter en amont la planification d'attaques, la vente de failles ou la circulation de données volées. Cela permet de se préparer, voire de neutraliser les menaces avant qu'elles ne frappent. C'est une logique de renseignement appliqué au cyberespace. C'est là où le Maroc doit investir. Le Maroc est-il suffisamment armé pour affronter ce type de menaces complexes ? Le Maroc a pris conscience de l'enjeu. Les récentes attaques sont des électrochocs, des catalyseurs qui forcent à revoir les stratégies en place. Mais la réalité, c'est que les ressources humaines formées sont encore insuffisantes. Il manque des experts, des analystes, des auditeurs, des développeurs en cybersécurité. Ce n'est pas seulement un problème d'infrastructure, mais de capital humain. Il faut donc agir sur plusieurs fronts : développer les talents en cybersécurité, ce que nous faisons par exemple à l'UM6P, renforcer la collaboration entre l'Etat, les entreprises et le monde académique, et suivre les évolutions technologiques internationales. Le Maroc peut et doit devenir un acteur producteur de solutions, pas uniquement un consommateur de logiciels étrangers. Que faudrait-il mettre en place pour franchir un cap ? Il faut d'abord adopter une approche systémique. La cybersécurité ne peut plus être pensée comme un simple service informatique. Elle doit être intégrée à la stratégie globale de l'Etat et des entreprises. Ensuite, il faut encourager la collaboration entre le secteur public, le privé et le monde académique. C'est à l'intersection de ces trois pôles que l'innovation naît. Il faudrait aussi créer des centres de réponse aux incidents régionaux, renforcer la coordination nationale, et promouvoir une culture du signalement. Enfin, il faut que chaque citoyen comprenne qu'il est concerné. La cybersécurité, ce n'est pas un sujet de spécialistes, c'est un enjeu collectif.
