La fuite des données de la CNSS est tombée comme un coup de tonnerre sur les entreprises, peu habituées à gérer les effets d'une crise pareille en interne. Décryptage. Après la tempête, c'est l'heure du ménage. Très critiquée pour sa communication de crise laconique, la CNSS tâche tant bien que mal de minimiser les dégâts collatéraux après avoir subi l'une des pires cyberattaques de l'Histoire du Royaume, perpétuée par un quarteron de hackers présumés algériens. La Caisse durcit son dispositif de sécurité à titre provisoire. Elle a pris soin de le notifier à ses assurés dans un bref communiqué, leur apprenant que certaines fonctionnalités seront temporairement restreintes. La note les exhorte à changer régulièrement de mot de passe et à s'abstenir de partager leurs identifiants et de cliquer sur des liens suspects. Bref ! Des mesures basiques de protection contre les regards malveillants.
En quête d'un responsable ! Entre-temps, les enquêtes se poursuivent pour savoir tirer les ficelles de cette affaire qui tient tout le monde en haleine. Le flou plane toujours sur les circonstances de la fuite des données de près de 2 millions de salariés de 500.000 entreprises. Entre-temps, le flou reste maître de la situation. Le gouvernement s'est contenté de condamner "un acte criminel", tandis que les autorités, censées être compétentes, faute de réponse concrète, se contentent de lancer des injonctions, à l'instar du message menaçant adressé par la Commission Nationale de Contrôle de Protection des Données à Caractère Personnel (CNDP) qui a mis en garde contre la diffusion et l'usage illégal des données fuitées, que des milliers d'internautes ont pu consulter. Des actes qui tombent sous le coup de la loi 09-08, dont l'article 54 punit de trois mois à un an de prison en plus d'une amende de 20.000 à 200.000 dirhams toute personne ayant collecté frauduleusement des données personnelles. Toutefois, le mal est déjà fait. Des centaines de milliers de fichiers PDF dont des déclarations de salaires circulent librement sur Internet à une telle vitesse que tout salarié du privé risque à tout moment de trouver ses données entre les mains de son collègue. "Le fait de télécharger ces documents volés peut être dangereux s'ils contiennent des malwares visant à infecter les ordinateurs et les téléphones", fait remarquer Othmane Erraji, spécialiste et consultant en cyber-sécurité. Là, la responsabilité est partagée. Criminaliser les indiscrétions ne saurait exempter le garant de ces données. Sous le feu des reproches, la CNSS se cache toujours dans son argumentaire, souvent contredit par les faits, en contestant la véracité des données fuitées. Une façon perçue par certains observateurs comme une manière de se soustraire de sa responsabilité en tant qu'organe chargé de protéger ces données ultra-sensibles. Pourtant, la Caisse serait susceptible de poursuites judiciaires, selon Ahmed Amine Mehiaoui, Avocat au Barreau de Casablanca, qui rappelle qu'il incombe à la CNSS de garder la confidentialité des données de ses assurés en vertu de la loi 09-08. «Cela dit, toute personne s'estimant lésée par cette fuite peut engager une action en responsabilité contre la CNSS, à condition de prouver un manquement aux obligations de surveillance et de sécurité prévues par la loi, avec l'appui d'une expertise ordonnée par le tribunal pour établir la faute de la CNSS, en l'occurrence une défaillance dans son système de sécurité», explique Me Mehiaoui.
Les entreprises prises au dépourvu ! Au-delà des débats juridiques, et en attendant les résultats des enquêtes qui détermineront les responsabilités, cette fuite a brisé la confiance, surtout dans les entreprises où les répercussions de la fuite sont d'ores et déjà palpables. Les conséquences sont multiples. "Le temps est au malaise aux entreprises", convient Nabil Haddaf, entrepreneur et spécialiste de la transformation organisationnelle, rappelant, dans un post sur LinkedIn, que la fuite a révélé des écarts de salaires difficilement justifiables. Par conséquent, le climat de travail s'envenime du moment que cela pourrait déboucher sur des tensions et des sentiments contrariés entre les salariés d'une même équipe. Cette fuite a chatouillé la curiosité des gens dont certains n'ont pas pu s'empêcher de consulter les bulletins de paie de leurs collègues. Des dizaines de personnes interrogées par «L'Opinion» avouent avoir succombé à la tentation, tellement forte qu'elle suscite parfois des amertumes et un sentiment d'injustice chez les uns et l'indifférence chez d'autres. Les patrons se disent aussi concernés. "En tant que chef d'entreprise, il m'est désagréable que les données salariales de mes employés soient divulguées au grand public au risque de parvenir à mes concurrents", redoute Badr Bellaj, entrepreneur et expert en Blockchain. Selon notre interlocuteur, la fuite des données est d'autant plus préjudiciable qu'elle donne l'opportunité aux concurrents de tenter de séduire des employés des entreprises rivales en leur proposant de meilleurs salaires. "L'argent étant le nerf de la guerre, dans des sociétés crispées par les inégalités comme la nôtre, il faut s'attendre à des tensions sur les lieux de travail, à des démissions et du démarchage de ressources chez les concurrents", fait remarquer Issam Alaoui, expert en data et en cyber-sécurité, qui met en garde contre le risque de campagnes de phishing contre les adhérents de la CNSS dont les données ont été dérobées. "A l'ère du Deepfake audio et vidéo et des données signalétiques, il faut sensibiliser tous les acteurs pour se protéger des pirates, ce qui est une pratique courante post-dataleak", met en garde M. El Alaoui.
"On n'est pas habitué à gérer une telle crise" ! Face à cette situation, les entreprises, comme les administrations d'ailleurs, n'ont pas l'habitude de gérer ce genre de crises aux conséquences managériales. Il est temps que les entreprises s'approprient la gestion des "cyber-crises", plaide Othmane Erraji, qui estime que cela passe par la mobilisation de divers profils, dont ceux du juridique, du cyber et de l'IT. L'objectif étant de créer des dispositifs ou des cellules destinés à faire face efficacement à des crises pareilles qui sont de nature à ébranler la confiance au sein des boîtes. Là, une refonte de la gouvernance est de mise, selon Issam El Alaoui qui préconise de mettre le "Chief Data Officer" et le RSSI (Responsable Sécurité des Systèmes d'Information) au cœur des décisions IT.
Anass MACHLOUKH Trois questions à Issam El Alaoui : "Cryptage, anonymisation et minimisation des accès doivent devenir des principes sacrés" * A quel point, selon vous, la crise est-elle grave par l'ampleur des dégâts qu'elle a occasionnés ?
Les dégâts occasionnés par cette attaque sont d'abord d'ordre réputationnel. La confiance en la capacité de nos institutions à protéger notre vie privée et professionnelle en prend un sacré coup, d'autant plus que les données ont été publiées à la veille du GITEX, censé célébrer les bonnes pratiques. Maintenant, sans préjuger du vecteur technique utilisé pour provoquer ce data leak, les non-initiés prennent conscience de la fragilité inhérente des systèmes d'informations, même les plus critiques et les plus surveillés. Google n'a-t-il pas des programmes pour récompenser les «gentils» hackers sur ses systèmes. Au-delà de l'attaque, il faut se poser la question de l'avenir des chantiers stratégiques de digitalisation : e-service, e-gouvernement, dossier médical partagé... Pourrons-nous nous permettre une faille similaire dans des systèmes encore plus critiques ?
* Comment les entreprises doivent-elles réagir en interne après cet épisode ?
Si on se focalise uniquement sur les aspects Data, les entreprises doivent prendre conscience de la fragilité des infrastructures software et hardware dans le monde d'aujourd'hui. La loi 09-08, et par extension le RGPD, ne sont pas des réglementations décoratives mais des assurances-vie pour la data des entreprises et par extension l'existence de l'entreprise elle-même. Il faut admettre qu'on peut se faire hacker à tout moment, tant la surface d'attaque est devenue grande par la complexité de l'IT moderne et la barrière à l'entrée du hacker est faible. Cryptage, anonymisation, protection by-design et minimisation des accès doivent devenir indispensables comme une dernière ligne de défense.
* Faut-il revoir en profondeur la gouvernance des systèmes d'information après cet épisode ?
Il faut non seulement revoir la gouvernance des systèmes d'information, mais l'intégrer dans une vision plus holistique avec la gouvernance des données et la gouvernance de la cyber-sécurité. Ces trois volets complémentaires doivent coexister pour mettre la protection des assets stratégiques d'une entreprise au cœur du changement. Cela veut dire mettre le Chief Data Officer et le RSSI au cœur des décisions stratégiques IT, dans les refontes, les grandes décisions structurantes et les collaborations avec les partenaires. La gouvernance des SI doit également être repensée dans un monde où le Cloud apporte un trade-off bienvenu entre sécurité et souveraineté. Nous sommes un petit marché qui ne pourra pas remplacer les hyper-scalers avec leurs stacks robustes et bonnes pratiques par les limites des compétences locales et de la fragmentation des outils de cyber-sécurité. A ce titre, il me semble que la loi 05-20 sur le Cloud doit être pensée et appliquée dans nos institutions stratégiques avec sagesse et mesure, pour trouver le juste milieu entre protection contre les grandes puissances et protection contre les petits hackers. Trois questions à Othmane Erraji : "Quoi qu'il en soit, cette fuite a placé la cyber-sécurité au centre du débat national" * Quelles sont les leçons à tirer de cette crise ?
Il est essentiel d'assurer une communication de crise rapide et transparente. La CNSS a mis plus de 24 heures à réagir, ce qui a amplifié l'inquiétude du public. Une réponse plus immédiate et détaillée aurait permis de mieux gérer la situation. Aussi, il faut une approche proactive plutôt que défensive. Minimiser l'impact en affirmant que les documents divulgués étaient souvent faux ou tronqués, n'a pas aidé à regagner la confiance du public. Fournir des informations claires et prendre des actions concrètes dès le début aurait été plus efficace. De plus, une coordination efficace entre les parties prenantes aurait permis une réponse plus rapide à la crise. Enfin, il est important de sensibiliser le public aux dangers de la curiosité numérique. Cette cyberattaque est survenue alors que le Maroc se lance dans plusieurs chantiers stratégiques aux niveaux numérique, économique et social, tout en consolidant son leadership régional et son positionnement international. La CAN 2025 et la Coupe du Monde 2030 en font partie.
* Vous dites que cette crise a eu aussi des avantages, lesquels ?
Cette cyberattaque n'est pas un hasard. Son objectif est de déstabiliser des institutions stratégiques. Cependant, elle nous a servi. Certes, elle a impacté momentanément les clients de la CNSS, qui redoutent la divulgation de leurs données et le harcèlement numérique ainsi que les employés de ces structures, inquiétés par ces fuites, et les partenaires de ces institutions, dont la confiance a été secouée. Pourtant, je pense que l'impact global a été positif car la fuite a placé la cyber-sécurité au centre du débat national. Elle a servi d'une campagne de sensibilisation nationale qui a touché aussi bien le citoyen lambda que les secteurs public et privé. Nous avons extrêmement besoin de cette conscience cyber, surtout que le Maroc est en pleine transition numérique.
* Comment améliorer la cyber-résilience des institutions publiques et des entreprises ?
Il est essentiel de mettre en place, sous l'égide de la DGSSI, un cadre de coordination entre les institutions publiques et les acteurs privés impliqués dans la sécurisation des systèmes d'information nationaux. Cela inclut la création d'une plateforme d'échange d'informations sur les menaces, les vulnérabilités, les incidents et les bonnes pratiques en matière de cyber-sécurité. La gestion des crises cyber nécessite la mobilisation de divers profils, tels que les métiers, les ressources humaines, le juridique, le cyber et l'IT. Les institutions doivent planifier une organisation de crise en amont des cyberattaques et définir clairement le rôle de chaque partie pour faciliter la mobilisation. Il est également recommandé de mettre en place des outils de détection et de réponse aux incidents, et de s'entourer d'experts certifiés par la DGSSI pour renforcer les capacités de détection, d'investigation et de gestion des impacts. Enfin, il est crucial de renforcer les activités d'audit et de contrôle pour vérifier la conformité des infrastructures et de développer une culture de cyber-sécurité et de cyber-résilience en sensibilisant régulièrement sur les risques cyber et la gestion de crise.
