Depuis les récentes cyberattaques perpétrées à l'égard de la CNSS et de plusieurs ministères, beaucoup d'encre a coulé dans les médias et les réseaux sociaux. S'en est suivie une réaction du porte-parole officiel du gouvernement pour dire que « les institutions ciblées avaient pris les mesures nécessaires pour renforcer leurs infrastructures numériques et leur sécurité informatique » et que « les succès diplomatiques du Maroc dérangent les parties hostiles à notre pays ». Tout ça, c'est bien joli à entendre et ce n'est pas non plus faux. Toutefois, bien que le combat soit de nature technique, il faut, en outre, souligner que dans une pareille situation de crise, au-delà des conséquences techniques, les dégâts sont aussi d'ordre psychologique, social, financier et juridique, portant atteinte à la vie privée des individus et à la protection des données personnelles, entravant aussi la confiance du citoyen dans les institutions étatiques et allant même porter préjudice à la bonne réputation du pays. Pour revenir à l'affaire « CnssGate », il s'agit de milliers de documents confidentiels qui ont été dérobés et mis en ligne début avril 2025. Puis, ce n'est pas vraiment une première en son genre qui touche le Maroc car il y a une dizaine d'années, un inconnu avait procédé au piratage de milliers de câbles de la diplomatie marocaine qu'il rendait accessible sur des sites de stockage et de partage de fichiers, à travers son compte Twitter (X). Les directions IT ou Cyber manquent-elles de visibilité ?
La gestion des cyber-risques commence par une bonne gouvernance. La plupart du temps, quand un fonctionnaire ou un employé se heurte à une panne informatique, il essaie de la solutionner lui-même, en recourant à Google ou en suivant le conseil de son collègue, sans pour autant en aviser le département IT. C'est là où commence à se détruire l'une des briques fondamentales du dispositif Cyber et du système d'information. Il en advient que le département IT n'a plus connaissance des faits réels et devient en décalage avec la réalité. Il ignore ainsi si les technologies qu'il déploie sont efficaces ou non. Quoique l'on dise, les erreurs humaines sont, en grande partie, à l'origine des vulnérabilités. De surcroit, lors d'un incident de cybersécurité, l'importance de la communication est cruciale pour instaurer un climat de confiance entre les institutions nationales et le citoyen.
Erreur humaine et/ou défaillance technique à l'origine des vulnérabilités ? Allons droit au but : la question fondamentale à laquelle il faut trouver réponse est très simple : comment cohabiter avec des cyberattaques ? Même les pays les plus avancés en matière de cybersécurité font régulièrement face à des attaques informatiques. Cela devient un jeu classique auquel se livrent les Etats pour adopter une attitude de légitime défense. Au Maroc, la DGSSI chapeaute le dispositif national de cybersécurité et dispose de plusieurs attributions dont quelques-unes ciaprès : diffusion d'alertes et de bulletins de sécurité à chaque fois qu'une faille de sécurité critique est détectée, lancement de missions d'audits de sécurité des systèmes d'information des administrations et organismes publics, élaboration des textes législatifs et réglementaires relatifs à la cyber sécurité, publication de codes de bonne conduite, puisés des meilleures pratiques internationales. Il ne s'agit pas ici de culpabiliser la DGSSI ou de responsabiliser des dirigeants d'établissements stratégiques (publics ou privés), de remettre en cause l'efficacité des directions IT (« Cyber ») ou le niveau de qualification des spécialistes en cybersécurité. Par contre, un certain nombre de questions se pose. Est-ce que les dirigeants des différentes institutions nationales sont suffisamment sensibilisés pour prendre conscience, à l'aune du numérique et de l'IA, de la dangerosité des menaces et des attaques cyber pour la sécurité nationale et de pouvoir cerner les frontières entre l'espionnage parrainé par l'Etat, la guerre et la cybercriminalité ? Bien qu'aucune défense ne soit impénétrable et compte tenu que les cyber-soldats changent souvent de méthode, une vigilance accrue s'impose aujourd'hui plus que jamais. Suite à ces cyberattaques, la DGSSI a répondu dans les règles de l'art et en temps opportun, au travers une série d'actions, pour n'en citer que quelques-unes : ouverture d'une enquête sur les causes probables de survenance, lancement d'un programme d'audits ciblés, demande de suspension temporaire de services électroniques par certaines institutions nationales, sensibilisation de dirigeants d'établissements publics aux mesures de précaution à adopter en matière de cybersécurité. Toutefois, est-ce que ces initiatives permettront à notre pays de tirer les enseignements nécessaires ? Certes, tout cela est très important mais il faudrait s'attaquer, essentiellement, aux véritables causes racines de cet incident. Est-ce que les administrations sont dans la capacité de choisir de bons produits informatiques, surtout que derrière il y a un certain nombre de vulnérabilités qui fausseraient considérablement les bons choix, à l'exemple des risques de pratiques illégales et de corruption dans les marchés publics ou de l'incompétence de certains acheteurs dans la définition des besoins réels dans le cadre de projets d'acquisition d'équipements et de services ? Est-ce que les produits matériels et logiciels sont soumis à une obligation légale nationale stricte en matière de cybersécurité ? Est-ce que les fabricants et/ou prestataires de ces produits informatiques en assurent une sécurité maximale tout au long de leur cycle de vie ? Est-ce que le niveau de sécurité des produits utilisés (software ou hardware) peut résister à des cyberattaques de plus en plus élaborées ? Les fabricants, les importateurs et les distributeurs impliqués dans la mise sur le marché de ces différents produits sont-ils soumis à des obligations claires et à des contrôles réguliers et stricts, compte tenu de l'évolution rapide des connaissances scientifiques et techniques ? Les sanctions prévues en cas de non-conformité aux exigences de cybersécurité et de cyber-résilience sont-elles suffisamment contraignantes ? Pourquoi les organismes publics et privés ne protègent-ils pas systématiquement leurs données sensibles avec un cloud sécurisé 100% marocain ? Est-ce que la GRH dans les institutions publiques s'inscrit dans un esprit de développement des compétences et cherche-t-elle vraiment à fidéliser et recruter les talents de demain ? La cybersécurité est-elle vraiment au cœur des nouvelles missions des services de renseignement (https://www.lopinion.ma/Renseignement2-0-La-cybersecurite-au-coeur-de-la-strategie_a63167.html) ? Une multitude de questions complexes partagées avec les plus hautes autorités du pays pour un réglage très fin du dispositif national de cybersécurité surtout que le Maroc s'est engagé dans une dynamique de transition vers un développement économique régional et méditerranéen durable.
