Cybersécurité : Pourquoi le Maroc veut verrouiller son Cloud [INTÉGRAL]

En 2024, le Maroc a enregistré pas moins de 644 cyberattaques, selon les chiffres révélés par Abdellatif Loudiyi, ministre délégué chargé de la Défense nationale. L’intensification de ces attaques, en constante augmentation d’année en année, témoigne clairement du fait qu’elles ne sont plus le seul fait de cybercriminels isolés, mais bien d’acteurs étatiques menant contre notre pays une véritable guerre de cinquième génération.

Le Royaume a pris les devants dès 2020 en adoptant la loi n° 05-20 relative à la cybersécurité. Ce cadre juridique confie la protection des infrastructures numériques nationales à la Direction générale de la sécurité des systèmes d’information (DGSSI), rattachée à la Défense nationale. Cette loi dispose en outre que toutes les données sensibles doivent être exclusivement hébergées sur le territoire national, assurant ainsi la souveraineté sur ces informations critiques.
 

Les administrations publiques et les entreprises stratégiques concernées n’ont que deux options : soit construire leurs propres infrastructures pour y stocker leurs données, soit faire appel à des prestataires externes qui louent une partie de leurs capacités de stockage, une solution communément appelée Cloud (ou informatique en nuage). 

Exit les géants du Cloud tels qu’Amazon Web Services, Microsoft Azure ou Google Cloud Platform : les institutions concernées ne peuvent faire appel qu’à des prestataires de services Cloud marocains ou opérant au Maroc. Plusieurs entreprises locales ont effectivement vu le jour ces dernières années, affichant des capacités souvent très inégales. Cependant, le secteur évolue encore dans un cadre flou, marqué par l’absence de règles claires et de normes strictes pour encadrer leurs activités et garantir un niveau de sécurité suffisant.

“Chaque service ou application Cloud ajouté crée de nouveaux points d’entrée potentiels pour les cyberattaques. Les environnements Cloud, souvent complexes et hétérogènes, peuvent rendre difficile la gestion de ces points d’accès, augmentant ainsi le risque d’exposition des données sensibles”, alerte le professeur et expert en cybersécurité, Younès Felahi.

Ces vulnérabilités peuvent ouvrir la voie à divers types de violations de sécurité, allant des fuites et détournements de données sensibles et personnelles, à l’interception de données en transit (attaques de type Man in the Middle). Elles peuvent même compromettre l’intégrité du système, comme lors des attaques par déni de service distribué (DDoS) dont l’agence MAP a été victime en février 2023.
 

Selon plusieurs acteurs du secteur consultés par «L’Opinion», le Cloud était devenu le talon d’Achille de la cybersécurité nationale, au point où certaines institutions hautement stratégiques hésitaient à confier leurs données à des prestataires externes. Ce vide juridique vient d’être comblé avec l’adoption, le 18 octobre en Conseil des ministres, du projet de décret n° 2-24-921.

Ce texte concerne le recours, par les entités ou infrastructures d’importance vitale disposant de systèmes d’information ou de données sensibles, aux prestataires de services Cloud. Il prévoit, entre autres, la mise en place d’un régime de qualification pour ces prestataires et définit les règles encadrant leur sélection.

« Le secteur du Cloud est en pleine expansion, mais il existe une grande disparité dans les pratiques commerciales et les niveaux de service. Un cadre juridique spécifique aide à réguler le marché en établissant des règles claires sur les droits et obligations des parties, ce qui contribue à une concurrence équitable », explique notre expert.

Selon la DGSSI, ce nouveau régime permettra de disposer de garanties sur la compétence des prestataires Cloud et de leur personnel, sur la qualité des mesures organisationnelles et techniques mises en place, et, globalement, sur la confiance qui peut leur être accordée.

Plusieurs certifications de sécurité existent déjà et peuvent servir de référence au nouveau régime instauré par le décret n° 2-24-921, notamment la norme internationale ISO/IEC 27001, qui porte sur les systèmes de gestion de la sécurité de l’information (SGSI) et offre un cadre pour gérer la sécurité des données, ainsi que la norme ISO 22301 pour les systèmes de management de la continuité d’activité.

Quant à la DGSSI, l’article 19 de la loi 05-20 relative à la cybersécurité dispose qu’elle doit homologuer la sécurité de tout système d’information sensible avant sa mise en exploitation. L’institution délivre également la qualification PASSI pour labelliser les prestataires d’audit de la sécurité des systèmes d’information.

Palliant le vide juridique qui existait jusqu’alors, Bank Al-Maghrib avait pris l’initiative de publier en mai 2022 une directive établissant les règles minimales pour l’externalisation vers le Cloud par les établissements de crédit. Avec ce nouveau décret, le secteur bancaire, ainsi que d’autres systèmes vitaux tels que celui de la Santé, sera dorénavant soumis à cette nouvelle réglementation.
 

À l’entrée en vigueur du nouveau décret, les entreprises et institutions concernées devront revoir leur manière de stocker leurs données, tandis que les prestataires de services Cloud opérant sur le territoire marocain devront renforcer leurs mesures et normes de sécurité pour se conformer à la nouvelle législation. Mais en auront-ils les capacités techniques et financières ?

« En réalité, et d’un point de vue terrain, il est très difficile de traiter spécifiquement les données sensibles, car elles sont souvent intégrées dans des systèmes contenant également d’autres données moins sensibles », explique le professeur et expert en cybersécurité, Younès Felahi.

« Cette situation fait que la majorité des entreprises disposant d’infrastructures d’importance vitale n’adoptent pas le Cloud et peinent à définir une trajectoire digitale pour soutenir leurs activités dans un monde plus que jamais agile et compétitif (time to market, agilité, DevOps, réduction des coûts, avec un cœur de métier autre que l’IT…) », poursuit-il.
 

 

– Avant ce décret, il n’existait pas de réglementation spécifique au Cloud au Maroc, laissant un vide en matière de protection des données au niveau du Cloud et de responsabilité des prestataires. Les contrats standardisés offerts par les fournisseurs Cloud étrangers ne prenaient souvent pas en compte les spécificités du marché marocain ni les besoins des utilisateurs. Le décret vise à introduire des obligations claires pour les prestataires concernant la sécurité des données et la transparence dans leurs pratiques commerciales. Cela inclut entre autres la nécessité d’informer clairement les clients sur les conditions de service et sur les frais associés au transfert ou à la résiliation. Avec la montée en puissance de réglementations internationales telles que le RGPD en Europe, le Maroc a besoin d’un cadre juridique qui aligne ses pratiques sur celles d’autres pays, facilitant ainsi le commerce international et la coopération en matière de cybersécurité.

 

 

– Les infrastructures Cloud modernes sont souvent composées de multiples services (IaaS, PaaS, etc.), chacun ayant ses propres exigences de sécurité. Cette diversité complique la gestion et la sécurisation des environnements, rendant difficile l’identification et la remédiation des vulnérabilités. De plus, l’intégration de services Cloud avec des systèmes existants peut créer des interdépendances complexes qui augmentent le risque de vulnérabilités cachées. Le modèle de responsabilité partagée dans le Cloud signifie que bien que les fournisseurs gèrent la sécurité physique et l’infrastructure, les clients restent responsables de la sécurité de leurs données. Cela pouvait créer une fausse impression de sécurité si les entités ne comprenaient pas clairement leurs responsabilités.

 

 

– Les audits réguliers réalisés par des auditeurs indépendants sont essentiels pour évaluer la conformité des prestataires aux normes de sécurité. Ces audits doivent porter sur l’environnement de contrôle interne, l’accès à la piste d’audit et la sécurité des installations. De plus, la réalisation régulière de tests de pénétration et de simulations d’attaques permet d’évaluer la résilience des systèmes et d’identifier les vulnérabilités avant qu’elles ne soient exploitées par des attaquants.