Cinq mois après une cyberattaque de grande ampleur ayant provoqué la fuite massive de données sensibles, la CNSS annonce un plan de renforcement de sa cybersécurité évalué à 40 millions de dirhams. Cette initiative intervient alors que de nouvelles intrusions ont été signalées en septembre, soulignant les défaillances structurelles d'un système numérique fragilisé par la massification des données sociales et un retard de sécurisation. La Caisse nationale de sécurité sociale (CNSS) tente de tourner la page de l'un des épisodes les plus préoccupants de l'histoire numérique du Maroc. Cinq mois après l'attaque informatique massive du 8 avril menée par le groupe de hackers algériens Jabaroot, l'institution a annoncé un appel d'offres international de 40 millions de dirhams destiné à renforcer ses dispositifs de cybersécurité. Mais derrière ce sursaut institutionnel se dessine un constat plus alarmant : la fragilité persistante des infrastructures numériques marocaines face à la montée des cybermenaces, en dépit des discours récurrents du gouvernement sur la « souveraineté numérique ». L'attaque d'avril a révélé des défaillances profondes dans la protection des données sensibles. Les serveurs de la CNSS ont été compromis, exposant les informations personnelles de près de 500 000 entreprises et deux millions de salariés, dont les numéros d'identité nationale et les données salariales. Ces informations ont ensuite circulé sur des réseaux parallèles, accentuant la défiance vis-à-vis des institutions chargées de la protection sociale. Lire aussi : 5G au Maroc : Une révolution numérique en marche Les autorités avaient alors tenté de minimiser la portée de l'incident. Un communiqué officiel parlait de « documents souvent faux, inexacts ou tronqués ». Mais les experts indépendants ont confirmé la fuite de données authentiques, accentuant le décalage entre communication publique et réalité technique. Transparency Maroc avait d'ailleurs dénoncé l'ampleur de cette violation, estimant qu'elle exposait des failles critiques dans la cybersécurité nationale. Le 9 septembre, Média 24 rapportait qu'un expert en cybersécurité a affirmé qu'une seconde attaque, distincte de celle des Jabaroot, avait ciblé la CNSS. Selon lui, cette intrusion serait « plus grave » encore, car elle aurait compromis des documents individuels et des données familiales. L'institution, sollicitée par la presse, n'a ni confirmé ni infirmé ces informations. Ces événements successifs mettent en lumière une vulnérabilité structurelle : l'absence d'architecture de sécurité robuste et proactive au sein des grands organismes publics, malgré la multiplication des projets de transformation numérique. Un plan de mise à niveau chiffré à 40 millions de dirhams Face à l'urgence, l'appel d'offres international n° 89/2025 s'articule en deux volets. La première enveloppe de 6 millions de dirhams vise à accélérer le projet de transformation numérique de la CNSS. Le second, estimé entre 19,99 et 39,98 millions de dirhams, concerne l'acquisition d'expertises, de solutions techniques avancées et la mise en place de systèmes de sécurité conformes à la loi 09-08 sur la protection des données personnelles. Le cahier des charges impose des garanties strictes : destruction des fichiers après l'exécution des contrats, interdiction de tout usage non autorisé des données, déploiement de méthodologies agiles (Agile/Scrum), ainsi que la mise en place d'indicateurs de performance pour mesurer l'efficacité des dispositifs. Depuis 2022, la CNSS a élargi son périmètre d'intervention avec la gestion du système « AMO Tadamon », destiné aux ménages défavorisés, puis du régime « AMO Chamil » en 2024, pour les non-actifs. Ces extensions ont considérablement accru le volume de données sensibles administrées par l'institution. Or, cette massification n'a pas été accompagnée d'une sécurisation proportionnelle des systèmes numériques. La gouvernance numérique demeure donc le talon d'Achille d'une institution dont le rôle social est désormais central dans l'architecture de la protection sociale marocaine. Malgré les déclarations officielles sur la priorité accordée à la sécurité numérique, la succession d'incidents démontre que les infrastructures nationales restent vulnérables. Les attaques Jabaroot, puis la seconde intrusion présumée, rappellent que la cybersécurité ne peut plus être envisagée comme une question secondaire mais comme un enjeu de souveraineté. Pour nombre d'experts, le Maroc doit opérer un changement de paradigme : passer d'une logique réactive – corriger après coup – à une approche préventive, intégrant la cybersécurité dès la conception des systèmes.
