La transformation numérique au Maroc s'accélère, poussée par des initiatives ambitieuses telles que Maroc Digital 2030 ou la Stratégie Nationale de Cybersécurité. Toutefois, dans ce nouvel écosystème numérique, les petites et moyennes entreprises (PME) marocaines restent en première ligne face aux menaces cybernétiques, souvent sous-équipées et peu préparées à faire face à des attaques de plus en plus sophistiquées, notamment avec l'émergence de l'intelligence artificielle. Au Maroc, la majorité des PME reposent sur des solutions logicielles développées par des tiers, sans supervision interne dédiée à la cybersécurité. Cela se traduit souvent par une délégation totale des responsabilités cyber à des prestataires externes, sans audits réguliers ni équipe en interne. Des entités même publiques se contentent d'audits ponctuels (par Data Protect, entre autres) mais n'ont pas de cellule locale opérationnelle supervisant les opérations quotidiennes. Jusqu'en octobre 2024, il n'existait aucun cadre réglementaire contraignant sur l'usage du Cloud pour les PME. Le décret n°2.24.921 relatif au recours aux services Cloud par les Infrastructures d'Importance Vitale (IIV), publié le 18 octobre 2024, vient marquer un tournant, mais il ne s'adresse pas explicitement aux TPE/PME. En parallèle, les entreprises manquent cruellement d'accès à des services de tests de pénétration, de bug bounty programs (quasi inexistants au Maroc), ou de prestataires spécialisés. Hormis quelques sociétés comme Data Protect ou DXC, les offres sont limitées. PME : maillon faible, cible stratégique Près de 40 % des PME marocaines se déclarent vulnérables aux risques cyber, selon une étude de Kaspersky menée en 2023. Leurs préoccupations majeures ? * Pertes de clients (42 %) * Pertes financières (40 %) * Fuite de données sensibles (44 %) En effet, les cybercriminels exploitent les maillons faibles pour atteindre des cibles plus stratégiques. Une PME mal protégée peut ainsi devenir un chemin d'accès indirect à des données ou systèmes plus critiques. Lire aussi : Aya Gold & Silver découvre des teneurs record à Zgounder Et pourtant, les PME sont les grandes oubliées des politiques nationales. Sur les pages de la Stratégie nationale de cybersécurité, elles n'apparaissent qu'une seule fois, dans le passage suivant : « Au-delà des grandes entreprises qui opèrent dans des secteurs vitaux, les PME et TPE sont désormais de plus en plus exposées aux cyberattaques et aux cyber escroqueries, car elles sont plus vulnérables et moins outillées. [...] Il est essentiel de sensibiliser tous les acteurs du secteur privé aux risques de cybersécurité et de les aider à se protéger efficacement ». Cela reflète un manque de mesure concrète, plan d'accompagnement, ou financement dédié aux TPE/PME, qui représentent pourtant un pilier fort de l'économie marocaine. Infrastructure obsolète, formation insuffisante De nombreuses PME, voire établissements publics, continuent d'utiliser des systèmes d'exploitation obsolètes (Windows 7 à titre d'exemple) non couverts par les mises à jour de sécurité. Même les antivirus deviennent inefficaces dans ces environnements, laissant des portes grandes ouvertes aux attaques. Or il existe de bonnes pratiques recommandées par les experts telles que * La réalisation de tests d'intrusion réguliers (au moins 50 par semestre), * La sauvegarde systématique des fichiers, * Ou la sensibilisation des employés L'IA : alliée puissante ou menace amplifiée ? L'intelligence artificielle représente une opportunité majeure pour détecter, anticiper et contrer les cyberattaques via le machine learning. Mais au Maroc, très peu de profils sont formés à cette spécialisation. Actuellement, seules l'UM6P et l'EMI proposent des formations spécialisées en IA et cybersécurité avec une initiative en discussion à l'Université Al Akhawayn. Cette pénurie de talents contraint les entreprises à recourir à des experts étrangers, ce qui augmente les coûts et la dépendance. Mais l'IA peut aussi élargir la surface d'attaque. D'après l'Ausimètre 2025 : * 33 % des entreprises estiment que l'IA accroît leur exposition aux menaces (plus que le cloud à 30 %) * 42 % ne disposent pas de politiques internes pour encadrer l'usage de l'IA * 36 % affirment que des employés utilisent des outils d'IA sans supervision Deepfakes, phishing automatisé, malwares polymorphes... L'IA, mal encadrée, devient une faille critique. A cet effet, la cybersécurité ne peut pas rester le privilège des grandes entreprises. La résilience numérique du Maroc dépend de son tissu économique dans son ensemble. Les PME ont un réel besoin de : * Accompagnement stratégique, * Incitations financières pour renforcer leurs défenses, * Et d'un plan de formation national dédié aux compétences en cybersécurité et IA Sans cela, elles resteront le talon d'Achille de la transition numérique, et le premier point d'entrée des attaques de demain. Le futur des PME marocaines dans un monde digitalisé repose sur leur capacité à se protéger. Face à des cybermenaces en constante évolution et à l'arrivée de technologies disruptives comme l'IA, l'inaction n'est plus une option. L'Etat, les institutions de formation, les investisseurs et les chefs d'entreprise devraient placer la cybersécurité au cœur de leur stratégie, non seulement pour protéger, mais pour croître.
