15 Ans de Cybersécurité Au Maroc

15 ANS DE CYBERSÉCURITÉ AU MAROC
1
Taieb DEBBAGH

À PROPOS DE L’AUTEUR
Docteur en Informatique des Organisations de l’Université Paris-Dauphine, Taieb Debbagh a
été Secrétaire Général du Ministère marocain en charge des Technologies de l’Information et
Diplomate auprès de l’Union Internationale des Télécommunications (UIT), organisation des
Nations Unies à Genève..
Avec une quarantaine d’années d’expérience dans le cabinet « AT Kearney ».

le management au niveau national et international, Entre 2012 et 2014, Taieb Debbagh était
Taieb Debbagh a piloté des projets structurants diplomate auprès de l’Union Internationale des
autour des Technologies de l’Information, telle que Télécommunications à Genève, il a mis en place un «
la stratégie nationale « Maroc Numeric 2013 », tout Project Management Guidelines » qui a été adopté
en ayant la responsabilité des axes Développement pour gérer l’ensemble des projets de l’Union. il a
des compétences et Confiance Numérique. également assuré le suivi de tous les projets réalisés
au niveau international.
En tant que co-fondateur de la société « Informatique
Management Système » (IMS) en 1983, Taieb À son retour au Maroc, Taieb Debbagh a contribué à
Debbagh a été à l’origine du lancement de plusieurs la réalisation de projets structurants avec les cabinets
prestations relatives à la Gestion de production KPMG, Mazars et ABnaconseils.
assisté par ordinateur (GPAO), la Gestion de Son expérience à l’international l’a amené en
Trésorerie en date de valeur... et la conception de 2007, à être membre du «High Level Expert
progiciels de gestion, tel que « GETAFI », générateur Group» et président de la commission 3 (Structures
des états financiers. Organisationnelles) de la « Global Cybersecurity
En 2001, en créant la société « Consilium », Taieb Agenda ». Taieb Debbagh a rédigé avec Professeur
Debbagh a organisé des séminaires de haut niveau, Dafir Kettani, un référentiel de bonnes pratiques
animés par les intervenants de « Capgemini Institut ». Il a pour la mise en œuvre d’une stratégie nationale
également lancé les premières formations préparant de cybersécurité, intitulée « National Cybersecurity
aux certifications « CISA » et « PMP ». Management System », qui a été adoptée lors de la
conférence Plénipotentiaire de l’Union International
Entre 2006 et 2011, en tant que Secrétaire Général
des Télécommunications (UIT), qui s’est tenue à
du Département en charge des Technologies de
Guadalajara-Mexique en octobre 2010.
l’Information, Taieb Debbagh a initié la première
étude relative à la stratégie nationale de la confiance
Taieb Debbagh détient un Certificat d’Administrateur
numérique qui a été réalisée en 2007 par le cabinet
de Sociétés (CAS), un Certificat d’Audit SI (CISA) et
Deloitte France.
un Certificat des Risques SI (CRISC).
En 2008, il a supervisé la préparation et la réalisation
du Plan « Maroc Numeric 2013 », en partenariat avec
3

TABLE DES MATIÈRES
ACRONYMES 6
SOMMAIRE EXÉCUTIF 7
1. 2007 : E-MAROC 2010, GLOBAL CYBERSECURITY AGENDA & LOI 53-05 8
Les Lois antérieures concernant le secteur
e-Maroc 2010 – Sécurité de l’information et Confiance Numérique
Global Cybersecurity Agenda – le Maroc préside la commission 3
Loi 53-05 : les échanges électroniques de données juridiques (Nov. 2007)
2. 2008 : POLITIQUE NATIONALE POUR LA CONFIANCE NUMÉRIQUE & RAPPORT GCA 12
Politique nationale Confiance Numérique et Sécurité SI
GCA Com 3 : Rapport sur les structures organisationnelles pour la cybersécurité
3. 2009 : MAROC NUMERIC 2013, CONFIANCE NUMÉRIQUE & LOI 09-08 15
Plan « Maroc Numeric 2013 »
Programme Confiance Numérique
Loi 09-08 : Protection des données personnelles et CNDP
4. 2010 : APPROBATION DU NCMS PAR L’UIT & CONFERENCE D’IFRANE 19
Proposition du Maroc à l’UIT : National Cybersecurity Management System
Sensibilisation et Développement des Compétences
5. 2011 : DGSSI, MACERT & LABEL E-THIQ@ 22
Conseil Stratégique de la Sécurité SI
Direction Générale de la Sécurité des Systèmes d’Information
maCERT – Moroccan Computer Emergency Response Team
Loi 31-08 – Protection du consommateur incluant le e-Commerce
Label e-thiq@ de la CGEM
6. 2012 : STRATÉGIE NATIONALE SSI & CODE DU NUMÉRIQUE 26
Stratégie Nationale en Sécurité des Systèmes d’Information
Code du Numérique
7. 2013 : DIRECTIVE NATIONALE SSI & CONVENTION DE BUDAPEST 29
Directive Nationale de la Sécurité des Systèmes d‘Information
Approbation de la Convention de Budapest
Adhésion du maCERT au FIRST
8. 2014 : DONNÉES PERSONNELLES & RENFORCEMENT DES COMPÉTENCES 31
Ratification de la Convention 108 – Conseil de l’Europe
Données personnelles et Cybercriminalité
Renforcement des compétences
4
TABLE DES MATIÈRES
9. 2015 : GLOBAL CYBERSECURITY INDEX V1 COMPLEMENT 53-05 33

Global Cybersecurity Index 2015
Profil Cybersécurité Maroc - UIT
Complément à la loi 53-05
10. 2016 : INFRASTRUCTURES D’IMPORTANCE VITALE & DIRECTIVE BANQUE AL 36
MAGHRIB
Décret pour la protection des infrastructures d’importance vitale
Prestataires d’Audit de la Sécurité des Systèmes d’Information
Directive Bank Al Maghrib
11. 2017 : GCI V2 & DIRECTIVE POUR LES INFRASTRUCTURES D’IMPORTANCE VITALE 39
Directive Sécurité des Infrastructures d›Importance Vitale
12. 2018 : GCI V3 & CYBERSÉCURITÉ EN CHIFFRES AU MAROC 42
Cybersécurité en chiffres au Maroc
13. 2019 : PRESTATAIRES D’AUDIT & EXTERNALISATION 46
Référentiel d’homologation des Prestataires d’Audit de la SSI
Externalisation et Cloud
14.2020 : LOI 05-20 CYBERSÉCURITÉ & LOI 43-20 TRANSACTIONS ÉLECTRONIQUES 49
Loi 05-20 sur la Cybersécurité
Loi 43-20 sur les transactions électroniques
Loi 72-18 Registre National de la Population
ADD-Orientations générales 2025
15. 2021 : DÉCRET 2-21-406, OXFORD CMM & GCI V4 53
Décret 2-21-406 pour l’application de la loi 05-20
Oxford CMM : Modèle de maturité de la Cybersécurité nationale
TENDANCES DE LA CYBERSÉCURITÉ EN 2021 58

SEPT RECOMMANDATIONS POUR ATTEINDRE LE TOP 30 60
ANNEXES 62
1. Initiative Cyber4D
2. Fiche « Cyberwellness Profile Morocco – 2015 » - UIT
3. Guide de stratégie nationale de cybersécurité - UIT
5

ACRONYMES
ANSSI Agence Nationale de la Sécurité des Systèmes d’Information

CEH Certified Ethical Hacker
CERT Computer Emergency Response Team
CNDP Commission Nationale pour la protection des Données Personnelles
CSIRT Computer Security Incident Response Team
CSSSI Comité Stratégique de la Sécurité des Systèmes d’Information
DDOS Distributed Denial of Service
DGSSI Direction Générale de la Sécurité des Systèmes d’Information
DNSSI Directive National de la Sécurité des Systèmes d’Information
DPO Data Protection Officer.
EDR Endpoint Detection and Response
FIRST Forum of Incident Response and Security Team
FORENSIC Services d‘investigation qui enquêtent à la suite d‘une attaque informatique
GCI Global Cybersecurity Index
GDPR General Data Protection Regulation
ICS Industrial Control System
IDS Intrusion Detection System
IIV Infrastructure d’Importance Vitale
IPS Intrusion Prevention System
ISO :27001 Norme internationale de la sécurité des systèmes d‘information
LDAP Lightweight Directory Access Protocol
NCMS National Cybersecurity Management System
OIV Opérateur d‘Importance Vitale
PASSI Prestataires-Auditeurs de la Sécurité des Systèmes d‘Information
PCA Plan de Continuité d‘Activité
PENTEST Penetration Testing
PRA Plan de Reprise d‘Activité
PSSI Politique de Sécurité d‘un Système d›Information
RANSOMWARE Raccourci anglophone de ransom & software (rançon & logiciel)
RGPD Règlement Général sur la Protection des Données
SCADA Supervisory Control and Data Acquisition.
SIEM Security Information and Event Management
SMSI Système de Management de la Sécurité de l‘Information.
SOC Security Operation Center
SSL Secure Socket Layer
UIT Union Internationale des Télécommunications
6

SOMMAIRE EXÉCUTIF
Le sujet de la Cybersécurité est devenu celle-ci a initié plusieurs actions, dont le lancement
incontournable à tous les niveaux de la société, en 2013, de la nouvelle stratégie nationale et la
surtout que depuis le début de la pandémie publication de la Directive Nationale de la Sécurité
Covid-19, le Télétravail s’est imposé à tous SI des infrastructures d’importance vitale (IIV).
et les attaques ont connu une recrudescence
exponentielle. Pour faire face à cette La période de 2015 à 2018 a été marquée par
problématique mondiale, le Maroc a compris la publication par UIT du « Global Cybersecurity
depuis 2007, la nécessité d’une coopération entre Index (GCI) », dont la première version a positionné
l’Autorité ministérielle en charge des Technologies le Maroc 24ème au niveau international (3ème en
de l’Information, les Administrations et le secteur Afrique et 4ème parmi les pays Arabes), la suivante
privé, pour lutter contre la cybercriminalité, et l’a classé 49ème (4ème en Afrique et 7ème parmi
protéger les intérêts légitimes dans l’utilisation les pays Arabes), et le GCI de 2018 a classé le
et le développement des technologies de Maroc s’est vu attribué la 93ème position au niveau
l’information. mondial (16ème en Afrique et 10ème parmi les
pays Arabes). Mais étant donné tous les efforts
« 15 ans de Cybersécurité au Maroc » vient rappeler réalisés ces derniers mois, -Le Maroc a été classé
les grandes étapes de cette évolution et rendre 50ème au niveau internationale (7 ème parmi les
hommage à tous les efforts qui ont été réalisés pays arabes et 7 ème en Afrique), dans le rapport de
par les différentes parties prenantes marocaines l’UIT publié en juin 2021.
et qui ont été consolidés par la promulgation de La pandémie et la multiplication des cyberattaques
la loi « 05-20 » et par son décret d’application. Il sont certainement à l’origine de l’accélération de
consiste à faire un récapitulatif des faits marquants la promulgation de certaines lois, dont la « 05-
annuels en lien avec la Confiance numérique, la 20 » pour la Cybersécurité et la « 43-20 » pour la
Sécurité des Systèmes d’information et de la signature et aux transactions électroniques. Il est
Cybersécurité au Maroc. Dans cette introduction, regrettable de constater que la loi relative à La
on se contentera de faire une synthèse des actions cybersécurité ne couvre pas la protection des PME,
en lien avec ce secteur, qui ont été menées lors des du citoyen et de l’enfant, qui sont des facteurs pris
15 dernières années. En 2007, le Département de en compte par le GCI.
la Poste, Télécommunications et Technologies de
l’Information (DEPTTI) a pris l’initiative de réaliser La conclusion de ce livre tient compte de l’analyse
une étude avec le cabinet Deloitte-France, qui a détaillée des cinq axes (Légal, Technique, Mesures
permis d’élaborer la « Stratégie nationale de la organisationnelles, Renforcement des capacités
sécurité de l’information et la confiance numérique et Coopération) qui composent la note globale
». Sa mise en œuvre n’a pas pu se faire en raison de accordée au Maroc dans la quatrième édition du
la nomination du nouveau Ministre qui a suggéré « Global Cybersecurity Index », pour suggérer
de l’intégrer au futur plan qui a été initié en 2008. des actions concrètes qui permettront au Maroc
d’être parmi les leaders africains en matière de
L’année 2009 a été marqué par le lancement du cybersécurité.
Plan « Maroc Numeric 2013 », incluant une mesure
d’accompagnement la « Confiance Numérique »
et promulgation de la loi 09-08 Protection des
Données Personnelles. Un partenariat avec la
coopération coréenne a permis de mettre en
place le maCERT (Computer Emergency Response
Team) qui était parmi les premiers en Afrique.
Après la mise en place de la Direction Générale de
la Sécurité des Systèmes d’Information (DGSSI),
7
1 CHAPITRE
2007 : E-MAROC 2010, GLOBAL CYBERSECURITY AGENDA & LOI 53-05
Déjà en 2007, le plan « e-Maroc 2010 » avait prévu un chapitre relatif à la mise en place d’une stratégie
globale de la Sécurité de l’Information et la promotion de la Confiance Numérique. Pour concrétiser cela,
une étude a été initiée dans ce sens par le DEPTTI. Elle avait comme objectif de définir les grands axes
stratégiques et orientations gouvernementales en matière de la politique à adopter pour instaurer la
confiance numérique et sécuriser les systèmes d’informations des organismes publics et des entreprises
marocaines. La même année, le Maroc a présidé la commission 3 (Structures Organisationnelles) de la «
Global Cybersecurity Agenda », initiée par l’Union Internationale des Télécommunications. Après deux
années d’échanges avec le parlement, la loi 53-05 relative aux échanges électroniques de données
juridiques a été promulguée en novembre 2007.
8
LES LOIS ANTÉRIEURES CONCERNANT LE SECTEUR

Loi 07-03 : Infractions aux Systèmes de traitement automatisé (Nov. 2003)
Cette loi complète le code pénal en ce qui concerne les infractions relatives aux systèmes de traitement
automatisé des données. Cette loi permet de sanctionner toutes les intrusions non autorisées dans un
système de traitement automatisé de données.
Loi 24-96 : Poste et Télécommunications (Nov. 2004)

Loi consolidée relative à la poste et aux télécommunications, telle qu’elle a été modifiée et complétée.
L‘objet de cette loi est de définir le cadre juridique précisant le nouveau paysage du secteur de la poste
et des télécommunications, notamment celui des réseaux des Télécommunications. Et elle précise que,
sous réserve des prescriptions exigées par la défense nationale, la sécurité publique et des prérogatives
de l’autorité judiciaire, la commercialisation et/ou l’installation d’appareils radioélectriques conçus pour
rendre inopérants, tant pour l‘émission que pour la réception, les terminaux mobiles de tous types sont
interdits.
E-MAROC 2010 – SÉCURITÉ DE L’INFORMATION ET CONFIANCE NUMÉRIQUE
La stratégie nationale « e-Maroc 2010 » élaborée en 2007, avait recommandé la mise en place d’une
politique globale de sécurité de l’information et de promotion de la confiance numérique. Celle-ci
représentait un souci permanent pour tous les responsables et à tous les niveaux, le besoin de protéger
l’information, en particulier publique, s’est considérablement amplifié avec l’interconnexion des réseaux
ouverts, les réseaux partagés, l’internet, le télétravail, l’intelligence économique et stratégique.
Sur le plan législatif, une veille devait être mise en place pour prendre en compte les questions qui ne vont
cesser de se poser, tels que la durée de conservation des données de connexion, la lutte contre le « spam »
ou l’équilibre à maintenir entre la lutte contre le crime organisé, le terrorisme et la sauvegarde des libertés
individuelles.
Il a été fortement recommandé, et conformément au programme mondial de Cybersécurité lancé par l’UIT,
de mettre en place au niveau national, une politique globale et cohérente de Sécurité de l’Information et
de la Confiance Numérique (SICN). Il s’agissait d’un programme d’envergure qui devait :
- Elaborer, instaurer et généraliser les dispositifs techniques et les mesures :
ORGANISATIONNELLES : Gouvernance adaptée, Règles communes de bonnes pratiques,

chartes, procédures, guides, etc.
PÉDAGOGIQUES : sensibilisation et formation.
LÉGALES : Maintenir une veille sur la législation des TIC et de la sécurité pour garantir la sécurité
des acteurs nationaux.
- Encourager la création d’un pôle d’enseignement et de recherche et développement.

- Nouer des partenariats pour la promotion et la mise à profit des expériences.
- Mettre en place des observatoires et des pôles d’expertises (socioprofessionnels, académiques,
etc.) dans ce domaine.
- Adopter et diffuser des standards internationaux, telle que l’ISO 27001.
- Favoriser le rapprochement de l’Administration avec le privé et les centres de recherche des
universités, dans le cadre de PPP.
http://cyber4d.org/wp-content/uploads/2021/05/Loi-07-03.pdf
http://cyber4d.org/wp-content/uploads/2021/05/Loi-24-96.pdf
http://cyber4d.org/wp-content/uploads/2021/05/e-Maroc-2010.pdf
9
GLOBAL CYBERSECURITY AGENDA – LE MAROC PRÉSIDE LA COMMISSION 3

En 2007, l’Union Internationale des Télécommunications a lancé le « Programme Mondial de la Cybersécurité »,
en instaurant un Groupe d’Expert de Haut niveau qui a été chargé de la rédaction d’un rapport qui a posé
les bases des activités liées à la Cybersécurité au sein de l’Union. Le Maroc était représenté dans ce groupe
d’expert, par Taieb Debbagh en tant que Secrétaire Général du Département ministériel en charge des
technologies de l’Information. Et lors de la rencontre de lancement, il s’est vu attribué la présidence de la
Commission 3 relative aux « Structures Organisationnelles ».
Le Programme Mondial de la Cybersécurité (Global Cybersecurity Agenda - GCA)

La cybersécurité est l‘un des défis les plus profonds de cette époque. La croissance rapide des réseaux TIC
a créé de nouvelles opportunités pour les criminels d‘exploiter les vulnérabilités en ligne et d‘attaquer les
infrastructures essentielles des pays. Les gouvernements, les entreprises et les particuliers dépendent de
plus en plus des informations stockées et transmises sur les réseaux de communication avancés. Les coûts
associés aux cyberattaques étaient importants – en termes de perte de revenus, de perte de données
sensibles, de dommages à l‘équipement, d‘attaques par déni de service et de pannes de réseau. La
croissance et le potentiel futurs de la société de l‘information en ligne étaient menacés par la croissance des
cybermenaces. En outre, le cyberespace est sans frontières : les cyberattaques peuvent infliger des dégâts
incommensurables dans différents pays en très peu de temps. Les cybermenaces étaient un problème
mondial et elles avaient besoin d‘une solution globale, impliquant toutes les parties prenantes.
Le Groupe d‘Experts de Haut Niveau High Level Expert Group - HLEG

Un groupe d‘experts a été nommé pour conseiller le Secrétaire général de l‘UIT sur les questions complexes
entourant la cybersécurité, composée de spécialistes de renommée mondiale dans ce domaine. Et ceci en
tenant compte à la fois de la diversité géographique et de l‘éventail des compétences, afin d‘assurer une
représentation multipartite.
Lors de sa réunion inaugurale du 5 octobre 2007, le HLEG a nommé des présidents pour chacune des
5 commissions :
1. MESURES JURIDIQUES : Stein Schjolberg, juge au tribunal de Moss, de la Norvège.

2. MESURES TECHNIQUES ET PROCÉDURALES : Jaak Tepandi, professeur, Institut d‘informatique,
Université de technologie de Tallinn, de l’Estonie.
3. STRUCTURES ORGANISATIONNELLES : Taieb Debbagh, Secrétaire général, Département de la
Poste, des Télécommunications et des Technologies de l‘Information (DEPTTI) du Maroc.
4. RENFORCEMENT DES CAPACITÉS : Ivar Tallo, Chargé de programme, Institut des Nations Unies
pour la formation et la recherche (UNITAR), Genève-Suisse.
5. COOPÉRATION INTERNATIONALE : Shamsul Jafni Shafie, Directeur, Département de la sécurité,
de la confiance et de la gouvernance, de la Malaisie.
http://cyber4d.org/wp-content/uploads/2021/06/gca-chairman-report.pdf
10
FIGURE 1 : UIT-Global Cybersecurity Agenda
LOI 53-05 : LES ÉCHANGES ÉLECTRONIQUES DE DONNÉES JURIDIQUES (NOV. 2007)

En novembre 2007, la loi 53-05 a été promulguée et elle avait fixé le régime applicable aux données
juridiques échangées par voie électronique (cryptographie) et à la signature électronique. Elle avait
déterminé le cadre juridique applicable aux opérations effectuées par les prestataires de service de
certification électronique, ainsi que les règles à respecter par ces derniers et les titulaires des certificats
électroniques délivrés. Cette loi se déclinait en deux grands titres qui traitent :
- De la validité des actes établis sous forme électronique ou transmis par voie électronique.
- Le régime juridique applicable à la signature électronique sécurisée, à la cryptographie et à la
certification électronique.
http://cyber4d.org/wp-content/uploads/2021/06/loi-53-05-echange-electronique-
donnees-juridiques-fr.pdf
11
2 CHAPITRE
2008 : POLITIQUE NATIONALE

POUR LA CONFIANCE NUMERIQUE & RAPPORT GCA
En juillet 2008, à la suite de l’appel d’offre lancé par le DEPTTI, le cabinet Deloitte France a proposé
une « Politique Nationale pour la Confiance Numérique et la Sécurité des Systèmes d’Information ».
La mise en œuvre de celle-ci a été retardée par le nouveau ministre, en vue de l’intégrer en tant que
programme de la stratégie Nationale « Maroc Numeric 2013 ». La même année, le groupe marocain
chargé de l’analyse des structures organisationnelles dans le cadre d’une politique Cybersécurité a
remis son rapport à la troisième commission de la « Global Cybersecurity Agenda ».
12
POLITIQUE NATIONALE CONFIANCE NUMÉRIQUE ET SÉCURITÉ SI

Cette étude était à point nommé, car le développement de la société de l’information et de l’économie
numérique passait par l’établissement de la confiance numérique et la sécurité des systèmes d’information.
L’utilisation accrue des réseaux et systèmes d’informations exposait les échanges d’informations à des
risques qui nécessitaient des mesures de sécurité juridiques et techniques adéquates afin d’instaurer un
climat de confiance. Ainsi, des actions devaient être identifiées et entreprises pour instaurer et renforcer la
confiance dans l’utilisation des réseaux et systèmes d’information.
Pour assurer cette confiance, il y avait lieu d’agir sur trois domaines :
La sécurité des réseaux et des systèmes d’information et des échanges électroniques.

La protection des données personnelles et de la vie privée.
La lutte contre la cybercriminalité.
La Vision proposée était « Le Maroc doit être un acteur majeur de la société de l’information et de
l’économie numérique », en visant les objectifs suivants :
Assurer la protection des infrastructures nationales.

Continuité des infrastructures critiques.
Sécurité des systèmes d’information.
Lutter contre la cybercriminalité.
Créer les conditions favorables à l’instauration de la confiance en l’économie numérique.
Promotion de l’administration et du commerce électronique.
Facilitation de l’offre d’offshoring. 15 ans de Cybersécurité au Maroc

FIGURE 2 : Politique Confiance Numérique & Sécurité SI
13
GCA COM 3 : RAPPORT SUR LES STRUCTURES ORGANISATIONNELLES POUR

LA CYBERSÉCURITÉ
Dans le cadre des travaux du « High Expert Level Group » de la « Global Cybersecurity Agenda », le
Maroc avait présidé la troisième commission, relative aux « Structures Organisationnelles », une équipe
marocaine, composée de Leila Zouak (ANRT), Dafir Kettani (ENSIAS), Mohamed Ibahrine (AUI) et Taieb
Debbagh (DEPTNT), avait réalisé un rapport sur « les structures organisationnelles pour la cybersécurité »
qui a été soumis à l’UIT en avril 2008.
Ce rapport était structuré en trois parties :
Partie 1 : Structures organisationnelles et politiques en matière de cybersécurité.

Partie 2 : Cadre mondial pour les capacités de surveillance, d’avertissement et de réponse à l’incidence.
Partie 3 : Gestion de l’identité numérique.
Il avait souligné que la mondialisation et les progrès technologiques ont rendu les infrastructures essentielles
vulnérables et donc les cibles terroristes potentielles. Les pays seront donc, confrontés à des risques réels et
des vulnérabilités dans les systèmes d’information critiques pourraient être exploités par leurs adversaires.
Ils chercheraient à neutraliser les infrastructures essentielles et les ressources clés pour menacer la sécurité
nationale, causant des pertes massives considérables, affaiblissant l’économie mondiale et endommageant
le moral et la confiance du public. Les gouvernements devraient lancer une initiative de politique générale
visant à améliorer la coordination au niveau national et international dans la lutte contre la cybercriminalité.
Il fallait créer un « modèle de politique générique » de cybersécurité, associé aux « stratégies nationales
coordonnées » contre la cybercriminalité. La mise en place des structures organisationnelles nationales et
régionales appropriées pour faire face à la cybercriminalité était plus que jamais nécessaires.
https://www.itu.
int/en/action/
cybersecurity/
Documents/gca-
chairman-report.pdf
14
3 CHAPITRE
2009 : MAROC NUMERIC 2013, CONFIANCE NUMÉRIQUE

& LOI 09-08
L’année 2009 a été marquée par le lancement de la stratégie nationale « Maroc Numeric 2013 » par Sa
Majesté le Roi Mohamed VI, le 9 octobre 2009 à Rabat. Ce plan intégrait une mesure d’accompagnement
concernant la « Confiance Numérique » qui a été mise en œuvre à travers un programme spécifique. On
notera également que la même année la loi 09-08 relative à la protection des données personnelles, a
été promulguée.
15
PLAN « MAROC NUMERIC 2013 »
Le Ministère de l’Industrie du Commerce et des Technologies de l’information avait lancé une étude qui a
été menée par le cabinet « AT Kearney » avec l’appui du Département en charge du secteur et de l’ANRT.
Le résultat de cette étude avait donné lieu au « Plan Maroc Numeric 2013 » pour une Stratégie Nationale
pour la Société de l’Information et de l’Economie Numérique, déclinée en 4 priorités :
- Transformation Sociale
- Services Publics orientés usagers
- Informatisation des PME
- Développement de l’Industrie TI
Et en 2 Mesures d’Accompagnement :
- Capital Humain
- Confiance Numérique
Figure 3 : Maroc Numeric 2013
http://cyber4d.org/wp-content/uploads/2021/06/Stratégies-nationales-pour-le-développement-de-léconomie-numérique-
samia-chakri.pdf
16
PROGRAMME CONFIANCE NUMÉRIQUE
L’ambition de cette mesure d’accompagnement est d’instaurer les conditions de la Confiance

Numérique, qui a été déclinée en 5 projets phares :
- Protection des données personnelles

- Protection des consommateurs pour la vente en ligne
- Certification électronique
- Mise en place du maCERT
- Sécurisation des infrastructures critiques du Royaume
Figure 4 : Programme confiance numérique
LOI 09-08 : PROTECTION DES DONNÉES PERSONNELLES ET CNDP
Pour répondre à deux objectifs : la protection des données personnelles du citoyen et la promotion
du BPO (Business Process Outsourcing) qui nécessité le même niveau de protection des données que
les pays européens.
La loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à
caractère personnel, visait à assurer une protection efficace des particuliers contre les abus d’utilisation
des données de nature à porter atteinte à leur vie privée et d’harmoniser le système marocain de
protection des données personnelles avec celles de ses partenaires notamment européens. En outre,
la loi instaure une Commission Nationale de protection des Données Personnelles (CNDP).
http://cyber4d.org/wp-content/uploads/2021/06/Loi-09-08-Fr.pdf
17
Cette loi répond aux principes suivants :
- « Toute personne a droit à la protection de sa vie privée », article 24 de la Constitution du Maroc.

- « … Le droit à l’information ne peut être limité que par la loi, dans le but d’assurer la protection
de tout ce qui concerne la défense nationale, la sûreté intérieure et extérieure de l’Etat, ainsi que
la vie privée des personnes, de prévenir l’atteinte aux droits et libertés énoncés dans la présente
Constitution … », article 27 de la Constitution du Maroc.
La CNDP assure une mission d’information et de sensibilisation auprès des individus des organismes
et des institutions publiques et privées. A cet effet, elle veille à :
- Informer les personnes physiques sur les droits que leur confère le nouveau cadre.
« Conseiller et accompagner les individus en vue de se prémunir contre tout abus d’utilisation de
leurs données. »
- Sensibiliser les organismes publics et privés sur leurs obligations et les meilleures pratiques.
- Accompagner les responsables de traitement dans la mise en œuvre du processus de conformité.
Expliquer aux opérateurs économiques les règles et les mécanismes régissant le transfert des
données personnelles à l‘étranger.
18
4 CHAPITRE
2010 : APPROBATION DU NCMS PAR L’UIT

& CONFERENCE D’IFRANE
L’année 2010 a été marquée par deux initiatives importantes du Département en charge des Technologies
de l’Information, la première concerne l’approbation par la Conférence Plénipotentiaire de l’UIT de
la proposition du Maroc concernant le « Référentiel pour un Système National de Management de
la Cybersécurité » qui englobe plusieurs composantes dont un guide de 34 processus, un modèle
RACI, ainsi qu’une démarche de mise en œuvre. La deuxième initiative a consisté en l’organisation
d’une Conférence Internationale à l’Université Al Akhawayn à Ifrane, sous le thème « Cybersécurité et
Confiance Numérique: Stratégie, Sensibilisation et Développement des Compétences», en présence
de plusieurs personnalités dont le Président de la CNIL, le Directeur Général de Cybersecurity Malaysia,
le Chef de la division Cybersécurité de l’UIT, les représentants du Groupe Banque Mondiale, du Conseil
de l’Europe, de la Commission Economique Africaine (CEA), de Carnegie Mellon University, ainsi que
plusieurs responsables des institutions marocaines (Ministère de l’Enseignement Supérieur, ANRT et
Universités).
19
PROPOSITION DU MAROC À L’UIT : NATIONAL CYBERSECURITY MANAGEMENT

SYSTEM
Le « Guide pour la mise en place d’un système national de gestion de la Cybersécurité » (NCMS :
National Cybersecurity Management System), dont la réalisation revient à Messieurs Dafir Kettani (ENSIAS)
et Taieb Debbagh (DEPTNT), a été proposé par le représentant de la délégation marocaine et approuvé
lors de la Conférence Plénipotentiaire de l’Union International des Télécommunications, qui s’est tenue à
Guadalajara (Mexique), en octobre 2010. A la suite de cette approbation et à la demande de l’ambassadeur
américain, le représentant marocain a rencontré M. Howard Schmidt, le bras droit du Président Obama, en
matière de Cybersécurité.
Les pays sont confrontés à des risques réels ainsi qu‘à des vulnérabilités dans les systèmes d’information
essentiels qui sont susceptibles d‘être exploitées par des adversaires. Aujourd‘hui, le cyberespace est loin
d‘être sûr et il est urgent d‘agir contre toute forme de cyberattaque, tant au niveau national qu‘international.
Il appartient aux pouvoirs publics de relever les défis en matière de sécurité informatique, lesquels sont
exacerbés par l‘absence de structures institutionnelles et organisationnelles adaptées pour traiter les
incidents.
En conséquence, les secteurs et les principales institutions devraient évaluer la fiabilité et la vulnérabilité
des infrastructures, ainsi que les menaces qui pèsent sur elles, et avoir recours à des mesures de protection
et des solutions idoines pour les sauvegarder.
Cette proposition définit une méthodologie pour mettre en œuvre une Feuille de route nationale de la
gouvernance de la cybersécurité, notamment un cadre de bonnes pratiques et un modèle de maturité pour
évaluer les différents aspects liés à la cybersécurité nationale. Les «Bonnes pratiques pour la cybersécurité
– Guide pour la mise en place d‘un système national de gestion de la cybersécurité» ont pour objet de
présenter le « Système national de gestion de la cybersécurité ». Il garantit la mise en œuvre de la Feuille
de route nationale de la gouvernance de la cybersécurité à travers les quatre composantes suivantes :
- Le « Cadre NCSec » propose cinq domaines (figure 5) et 34 processus pour traiter les questions liées
à la cybersécurité à l‘échelle nationale, comme l‘ISO 27002 le fait pour les organisations.
- Le « Modèle de maturité » classifie les processus en fonction de leur degré de maturité.
- Le « RACI » permet de définir les rôles et les responsabilités des principales parties prenantes
concernées par la cybersécurité dans un pays.
- Le « Guide de mise en œuvre » (figure 6) est une généralisation des normes ISO 27001 et 27003 à
l‘échelle nationale. Il souligne les bonnes pratiques à adopter par les organisations pour mesurer
leur état de préparation et initier la mise en place d’une Stratégie Nationale.
Figure 5 : NCSM – Cadre de Référence
20 https://www.itu.int/dms_pub/itu-d/opb/stg/D-STG-SG01.22.1-2014-PDF-F.pdf
Figure 6: National Cybersecurity Management System
SENSIBILISATION ET DÉVELOPPEMENT DES COMPÉTENCES
Le Département de la Poste, des Télécommunications et des Technologies de l’Information (DEPTTI) et

l’Université Al Akhawayn avaient organisé en janvier 2010, à Ifrane, la conférence régionale sur la cybersécurité
sous le thème « Cybersécurité et Confiance Numérique: Stratégie, Sensibilisation et Développement des
Compétences» , en partenariat avec le Ministère de l’Education Nationale, de l’Enseignement Supérieur
et de la Recherche Scientifique, l’Agence Nationale de Réglementation des Télécommunications (ANRT),
International Télécommunications Union, le Groupe de la Banque Mondiale, Carnegie Mellon University, la
Commission Nationale de l’Informatique et des Libertés (CNIL), le Conseil de l’Europe, et la Commission
Economique pour l’Afrique (CEA).
La conférence, s’inscrivait dans le cadre de la mise en œuvre, par le MICNT, du programme de confiance
numérique qui fait partie du plan stratégique national « Maroc Numeric 2013 », et du programme mondial
de cybersécurité (Global Cybersecurity Agenda - GCA), lancé en 2007 par l’Union Internationale des
Télécommunication, et dont l’objectif principal était d’instaurer la confiance numérique et la sécurité des
systèmes d’information en instituant un cadre national juridique, technique et organisationnel. L’enjeu était
également international dans la mesure où le Maroc entretient de nombreux partenariats internationaux
et que la visibilité offerte par les technologies de l’information et de la communication (TIC) est mondiale.
La première journée était composée de sessions plénières animées par des experts en cybersécurité et en
confiance numérique qui ont abordé des thèmes relatifs, notamment, au cadre réglementaire, politiques
et stratégies, structures organisationnelles, standards et coopération internationale, cyber-attaques,
infrastructures d’information critiques, protection des données personnelles, formation des ressources
humaines et renforcement des compétences. Les recommandations de la conférence étaient relatives aux
axes suivants :
- La sensibilisation et le développement des ressources humaines et le renforcement des compétences

en cybersécurité.
- L’élaboration d’une feuille de route/un plan d’action pour l’intégration de la sécurité des systèmes
d’information dans le cursus de l’enseignement supérieur, de la formation professionnelle et de la
formation continue.
https://lematin.ma/express/2010/Cyber-securite_Conference-a-l-Universite-Al-Akhawayn-a-
Ifrane/125578.html
21
5 C HAPITRE
2011 : DGSSI, MACERT & LABEL E-THIQ@
L’année 2011 représente un tournant majeur dans le développement de la Cybersécurité au Maroc,

lorsque le Ministre en charge du secteur des Technologies de l’Information avait proposé de confier la mise
en œuvre du Programme « Confiance Numérique » du Plan « Maroc Numeric 2013 », à l’Administration
de la Défense Nationale. C’est alors que la nouvelle autorité en charge de la « Cybersécurité » a initié
deux décrets concomitants pour la mise en place du « Comité Stratégique de la Sécurité des SI » et la
création de la « Direction Générale de la Sécurité des Systèmes d’Information » (DGSSI).
Cependant, le maCERT (Moroccan Computer Emergency Responsable Team) a été mis en place en place
en 2010, dans le cadre d’un partenariat entre le Département ministériel en charge des Technologies
de l’Information et la coopération coréenne, et celui-ci a été rattaché à la DGSSI après son instauration.
Cette année 2011 a été marquée également par la promulgation de la loi 31-08 pour la protection du
consommateur y compris le commerce en ligne et la mise en place par le Département Ministériel en
charge des Technologies de l’Information et la CGEM du « Label e-thiq@ » pour garantir le sérieux des
sites marchands.
22
CONSEIL STRATÉGIQUE DE LA SÉCURITÉ SI
Créé par le Décret n° 2-11-508 du 21 Septembre 2011 auprès de l‘Administration de la Défense Nationale,
le « Comité Stratégique de la Sécurité des Systèmes d‘Information (CSSSI) » est l‘autorité chargée de
définir les orientations stratégiques en matière de sécurité des systèmes d‘information, assurant ainsi la
protection de l‘information de souveraineté et garantir la continuité de fonctionnement des systèmes
d‘information des infrastructures d‘importance vitale. Le comité est chargé également d‘approuver le plan
d‘action de la Direction Générale de la Sécurité des Systèmes d‘Information (DGSSI) et d‘apprécier et
évaluer ses résultats. Il est en plus responsable d‘arrêter le périmètre des audits de la sécurité des systèmes
d‘information et les modalités de leur exécution par la DGSSI. Enfin, le CSSSI donne son avis sur les projets
de lois et règlements se rapportant au domaine de la sécurité des systèmes d‘information.
DIRECTION GÉNÉRALE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
La « Direction Générale de la Sécurité des Systèmes d’Information (DGSSI) » a été créée par décret
n° 2-11-509 du 21 septembre 2011.
Elle est rattachée à l’Administration de la Défense Nationale du Royaume du Maroc, et elle est
chargée de :
- Coordonner les travaux interministériels relatifs à l’élaboration et la mise en œuvre de la stratégie de

l’Etat en matière de sécurité des systèmes d’information.
- Organiser des cycles de formation et des actions de sensibilisation au profit du personnel des
administrations et organismes publics.
- Veiller à l’application des directives et orientations du comité stratégique de la sécurité des systèmes
d’information.
- Délivrer des autorisations, gérer les déclarations relatives aux moyens et aux prestations de
cryptographie.
- Certifier les dispositifs de création et de vérification de signature électronique et agréer les
prestataires de service pour la certification électronique.
- Assurer la veille technologique pour anticiper les évolutions et proposer les innovations nécessaires
en matière de sécurité des systèmes d’information.
- Assurer les audits de sécurité des systèmes d’information des administrations et organismes publics
dont le périmètre et les modalités seront fixés par le CSSSI.
- Assister et conseiller les administrations et organismes publics ainsi que le secteur privé pour la mise
en place de la sécurité de leurs systèmes d’information.
- Mettre en place, en relation avec les départements ministériels, un système de veille, de détection,
d’alerte des événements affectant ou susceptibles d’affecter la sécurité des systèmes d’information
de l’Etat et coordonner les mesures devant être prises à cet effet.
- Développement de dispositifs nécessaires à la mise en œuvre de systèmes sécurisés au profit des
administrations et organismes publics.
https://www.dgssi.gov.ma/fr/presentation/csssi/missions-du-comite-strategique-de-la-securite-des-systemes-d-
information.html
https://www.dgssi.gov.ma/fr/presentation/dgssi/presentation-missions.html
23
MACERT – MOROCCAN COMPUTER EMERGENCY RESPONSE TEAM

Le Département de la Poste, Télécommunications et Nouvelles Technologies, en collaboration avec la
coopération Coréenne, ont lancé les travaux de réalisation du maCERT, pendant l’année 2010.
Le « maCERT » est le centre de veille, détection et réponse aux attaques informatiques. La Direction de
gestion de ce centre qui fait partie des quatre directions de la DGSSI est chargée de la mise en œuvre,
en relation avec les autres administrations, de systèmes de veille, de détection, d‘alerte des événements
susceptibles d‘affecter la sécurité des systèmes d‘information de l‘Etat et de la coordination de la réaction
à ces événements. Il est évident qu’avec l’accroissement continu de l‘usage des SI, et au regard de leur
rôle déterminant dans les processus métiers, la mise en place d‘une structure nationale participant à la
protection de ces systèmes est devenue une nécessité absolue, en l‘occurrence pour accompagner le
développement du pays sur tous les plans. En avril 2013, Le maCERT est devenu membre intégral du FIRST
(Forum of Incident Response and Security Team).
LOI 31-08 – PROTECTION DU CONSOMMATEUR INCLUANT LE E-COMMERCE
La loi 31-08 se fixe pour principal objectif le renforcement et la protection des droits des consommateurs,
et ce, en leur garantissant une meilleure information, en les protégeant contre les clauses abusives et
certaines pratiques commerciales, et en prévoyant des dispositions complémentaires relatives à la garantie
conventionnelle, au service après-vente et au surendettement. De même et au regard du rôle important
du mouvement consumériste dans l’information, la sensibilisation et la protection juridique des droits des
consommateurs, cette loi accorde aux associations de consommateurs reconnues d’utilité publique le droit
d’ester en justice en représentation des intérêts collectifs des consommateurs
LABEL E-THIQ@ DE LA CGEM.
Le commerce électronique s’imposait par son accessibilité et sa fluidité dans le transfert de l’information.
La structuration de ce créneau et la sécurisation des données des consommateurs restaient des éléments à
verrouiller pour renforcer la confiance des utilisateurs. La stratégie nationale pour la société de l’information
et l’économie numérique “Maroc Numeric 2013”, lancée le 10 octobre 2009 sous la présidence effective
de Sa Majesté le Roi Mohammed VI, avait inscrit effectivement la Confiance numérique comme l’une des
deux mesures d’accompagnement de cette stratégie visant à instaurer les conditions nécessaires pour
susciter la confiance des citoyens et des entreprises en l’économie numérique.
Ainsi, la mise en œuvre de l’action de la mesure d’accompagnement précitée visait à mettre en place un
label des sites web marchands marocains pour renforcer la confiance des citoyens et des entreprises dans
le commerce électronique. Elle a été concrétisée par la mise en place du « Label e-thiq@ de la CGEM »
pour le commerce électronique » dont l’objectif principal était d’instaurer la confiance des consommateurs
en ligne dans les sites marchands et de promouvoir le développement du commerce électronique au
Maroc. C’est dans ce but que le ministère de l’Industrie, du Commerce et des Nouvelles Technologies et
la Confédération Générale des Entreprises du Maroc (CGEM) avaient procédé, le vendredi 17 juin 2011,
à la signature d’une convention de partenariat portant sur la mise en place du label e-thiq@ qui est un
gage de conformité de l’entreprise à la règlementation en vigueur. Ce label représente également un
levier de renforcement de la compétitivité et des performances des entreprises opérant sur internet, leur
permettant ainsi de percer le marché tant sur le plan national qu’international.
https://www.dgssi.gov.ma/fr/macert.html
http://cyber4d.org/wp-content/uploads/2021/06/mesures_protection_consommateur.pdf
24
Sites concernés par la labellisation : Le Label e-thiq@ s’adresse aux entreprises qui possèdent un site
Internet de vente de produits ou de services dans le cadre du respect de la réglementation marocaine
en vigueur. Il s’applique aux sites commerciaux identifiés ainsi qu’aux sites commerciaux associés ou liés,
eux-mêmes identifiés comme participants à la réalisation de l’acte d’achat, quelle que soit leur localisation
géographique au Maroc. Les sites marchands peuvent s’adresser à des consommateurs marocains ou
étrangers. Les produits ou services proposés peuvent être à destination des entreprises, des administrations
ou des particuliers. Il n’est pas obligatoire que le site propose un système de paiement en ligne.
Critères de qualité du Label e-thiq@ : La labellisation des sites marchands envisage la majorité des
paramètres allant de la transaction commerciale sur Internet de l’information du consommateur aux
enquêtes de satisfaction de la clientèle en respectant les règles suivantes :
- Responsabilité, transparence et éthique.

- Information relative à l’identification du professionnel.
- Respect du droit du consommateur.
- Description des produits et des prestations de services.
- Réalisation de la transaction.
- Conditions de retour, de garantie et de réclamation.
- Confidentialité des données personnelles.
- Sécurité de la transaction.
- Respect de la loi relative à la communication audiovisuelle.
- Qualité de service technique.
- Amélioration continue.
NB : A ce jour, très peu de sites marchands ont été labellisés, car la promotion
de ce Label par le Ministère et la CGEM n’a pas était soutenue.
https://www.cgem.ma/fr/
Label-e-thiq@-CGEM
25
6 CHAPITRE
2012 : STRATÉGIE NATIONALE SSI & CODE DU NUMÉRIQUE
Après la mise en place des structures relatives à l’Autorité Gouvernementale en charge du secteur de
la Cybersécurité, celle-ci a lancé en 2012, une étude pour l’élaboration de la Stratégie Nationale en
Sécurité des Systèmes d’Information.
La même année, le projet de loi relatif au « Code du Numérique » précisait que la Constitution garantit
les libertés de pensée, d’opinion et d’expression sous toutes ses formes ainsi que le respect de la vie
privée de chaque citoyen, et les technologies de l’information et de la communication participent à
l’exercice de ces libertés. Mais dès sa publication et pour donner suite aux vives réactions d’une frange
des personnes concernées, le Ministre avait dû retirer le projet de texte du Secrétariat Général du
Gouvernement.
26
STRATÉGIE NATIONALE EN SÉCURITÉ DES SYSTÈMES D’INFORMATION
Partant d’une vision et d’ambitions claires, visant à positionner le Maroc parmi les pays émergents
dynamiques dans les technologies de l’information et de la communication, le Maroc a lancé, sous la
présidence effective de Sa Majesté le Roi en octobre 2009 la stratégie « Maroc Numeric 2013 ». Cette
stratégie a retenu la confiance numérique en tant que mesure d’accompagnement indispensable à l’ancrage
du Maroc à l’économie numérique.
Dans ce contexte, la « Stratégie Nationale en Sécurité des Systèmes d’Information » s’imposait de fait,
alors que les systèmes d’information faisaient partie intégrante du fonctionnement des administrations
publiques, de l’activité des entreprises et du mode de vie des citoyens. La sécurisation et le contrôle de
l’information devenaient un enjeu de plus en plus pressant dans un monde où l’environnement lié aux
technologies de l’information et de la communication est de plus en plus la cible de diverses menaces.
Compte tenu des enjeux et risques liés à la perspective d’ouverture et de développement projeté par
le plan « Maroc Numeric 2013 », le Maroc se trouvait, d’une part, devant l’obligation de mettre en place des
mécanismes de protection et de défense des systèmes d’informations (SI) des administrations, organismes
publics et infrastructures d’importance vitale et d’autre part, de sensibiliser les entreprises et les citoyens
sur les enjeux et les risques liés aux menaces informatiques.
La « Stratégie Nationale de Cybersécurité » , qui a été adoptée par le CSSSI en décembre 2012, s‘articulait
autour de quatre axes stratégiques :
AXE 1 : Evaluer les risques pesant sur les systèmes d’information au sein des administrations,
organismes publics et infrastructures d’importance vitale
- Elaborer des plans d’évaluation des risques et des menaces.
- Mettre en place des outils d’aide à la prise de décision.
AXE 2 : Protéger et défendre les SI des administrations, organismes publics et infrastructures

d’importance vitale
- Elaborer les référentiels et normes nationales.
- Sécuriser les SI des administrations, organismes publics et infrastructures d’importance vitale.
- Renforcer les structures de veille, de détection et de réponse aux incidents informatiques.
AXE 3 : Renforcer les fondamentaux de la Sécurité des SI

- Renforcer le cadre juridique pour instaurer la confiance numérique.
- Sensibiliser sur la cyber-éthique, les menaces et les risques liés à la SSI.
- Identifier et organiser des programmes de formation aux questions techniques et juridiques que
pose la Cybersécurité.
- Soutenir la R&D de produits de SSI nationaux pour garantir l’autonomie scientifique et technique.
AXE 4 : Promouvoir la coopération nationale et internationale

- Identifier les thématiques et mécanisme de coopération.
- Conclure des partenariats et les mettre en œuvre.
https://www.dgssi.gov.ma/fr/content/strategie-nationale-en-securite-des-systemes-
d-information.html
https://www.dgssi.gov.ma/fr/strategie-nationale-en-matiere-de-cybersecurite.html
27
CODE DU NUMÉRIQUE
En 2012, la présentation du « Code du Numérique » avait précisé que la Constitution garantit les libertés
de pensée, d’opinion et d’expression sous toutes ses formes ainsi que le respect de la vie privée de chaque
citoyen, et les technologies de l’information et de la communication participent à l’exercice de ces libertés.
Par ailleurs, le renforcement de l’arsenal juridique encadrant le domaine des technologies de l’information
et de la communication au Maroc et son harmonisation par rapport aux conventions internationales dûment
ratifiées dans ce domaine étaient jugés impératifs en vue d’instaurer un climat de confiance numérique.
En outre, l’accès des citoyens à l’information détenue par l’administration publique et à un environnement
numérique sécurisé, est un progrès social. Dans cette optique, le développement de l’administration
électronique et de l’économie numérique visait à améliorer le bien-être social des citoyens et constituait
une priorité pour assurer au pays une croissance et une compétitivité durable.
Cependant, le développement du secteur du numérique ne devait pas être réalisé au détriment d’un
autre enjeu majeur que constituait la sécurité des systèmes d’information. En effet, la sécurité est un droit
fondamental et l‘une des conditions de l‘exercice des libertés individuelles et collectives. Il était ainsi formé
le Code du Numérique qui prenait en compte les acquis du Maroc dans le domaine des technologies
de l’information et de la confiance numérique, dans la mesure où il devait compléter les textes existants
relatifs à ce domaine et créait, lorsque nécessaire, un ensemble de nouvelles dispositions rédigées de
manière à assurer leur pérennité et leur adéquation. Ledit « Code » était structuré en huit titres :
- Administration électronique.
- Contrats conclus à distance.
- Communications numériques.
- Protection des mineurs en ligne.
- Publicité et marketing électroniques.
- Sécurité et confiance numériques.
- Sanctions pénales.
- Dispositions transitoires et finales.
Le Maroc devait être parmi les premiers pays du monde à instaurer un « Code du Numérique », mais dès la
publication du projet sur le site du Secrétariat Générale du Gouvernement, de vives réactions ne sont pas
faites attendre et des voix se sont élevées pour demander au Ministre de retirer au plus vite ce projet de
loi. Pour faire suite à la levée de boucliers concernant ce projet de « Code du Numérique », le ministre en
charge du secteur a retiré le texte de loi relatif à ce Code en décembre 2013.
https://www.
medias24.
com/2013/12/12/
code-numerique-
un-projet-de-loi-
dans-le-circuit/
28
7 CHAPITRE
2013 : DIRECTIVE NATIONALE SSI & CONVENTION DE BUDAPEST
Ce que nous pouvons retenir de l’année 2013, c’est la mise en œuvre de la Directive Nationale de la
Sécurité des Systèmes d’Information en vue d‘élever et d’homogénéiser le niveau de protection et
le niveau de maturité de la sécurité de l’ensemble des systèmes d‘information des administrations
et organismes publics ainsi que des infrastructures d’importance vitale. La même année le Maroc a
approuvé la « Convention de Budapest » relative aux infractions pénales commises via l‘Internet et
d‘autres réseaux informatiques.
29
DIRECTIVE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
La stratégie Nationale en Sécurité des Systèmes d’Information avait pour objectif de doter nos organisations
d’une capacité de défense et de résilience, à même de créer les conditions d’un environnement propice
au développement de la confiance de notre société de l’information. En vue de rendre opérationnelles les
orientations de cette stratégie, le Comité Stratégique avait lancé le plan d’actions 2013 incluant la mise en
œuvre de la « Directive Nationale de la Sécurité des Systèmes d‘Information » (DNSSI), afin d‘élever et
d’homogénéiser le niveau de protection et le niveau de maturité de la sécurité de l‘ensemble des systèmes
d‘information des administrations et organismes publics ainsi que des infrastructures d’importance vitale.
Pour arrêter les règles de la DNSSI, la DGSSI s’est inspirée de la norme ISO/CEI 27002 et des résultats de
l’enquête menée en juillet 2013 auprès d’un échantillon représentatif d’administrations et organismes publics
et d’opérateurs d’importance vitale. Pour la mise en œuvre de cette directive, chaque entité concernée
devrait définir un plan d’actions, élaborer les mesures organisationnelles et techniques nécessaires et
assurer le suivi permanent. En outre, chaque entité devrait remonter au maCERT les incidents significatifs
constatés ainsi que le descriptif des dispositions mises en œuvre pour les résoudre.
APPROBATION DE LA CONVENTION DE BUDAPEST
Cette approbation par le Maroc de la Convention 185 du Conseil de l’Europe , connue sous le nom de la
Convention de Budapest a été Confirmée par la loi 136-12 en mars 2013. Cette Convention est le premier
traité international sur les infractions pénales commises via l’Internet et d’autres réseaux informatiques,
traitant en particulier des infractions portant atteinte aux droits d’auteurs, de la fraude liée à l’informatique,
de la pornographie enfantine, ainsi que des infractions liées à la sécurité des réseaux. Il contient également
une série de pouvoirs de procédures, tels que la perquisition de réseaux informatiques et l’interception. Son
principal objectif, énoncé dans le préambule, est de poursuivre «une politique pénale commune destinée
à protéger la société contre le cybercrime, notamment par l’adoption d’une législation appropriée et la
stimulation de la coopération internationale».
ADHÉSION DU MACERT AU FIRST
Le « maCERT » est devenu membre intégral du FIRST depuis le 19 avril 2013. Le « Forum of Incident
Response and Security Team (FIRST) » est une organisation, reconnue au niveau international, spécialisée
dans la diffusion rapide d’information au sujet des incidents informatiques. Ses objectifs sont d’encourager
la coopération et la coordination dans la prévention des incidents, afin de stimuler la réaction rapide en cas
d’incidents, et de promouvoir le partage d’information entre les CERT (Computer Emergency Response
Team).

https://www.dgssi.gov.ma/fr/content/directive-nationale-de-la-securite-des-systemes-d-information.html
https://www.coe.int/fr/web/conventions/full-list/-/conventions/rms/090000168008156d
www.first.org/members/teams/macert
30
8 CHAPITRE
2014 : DONNÉES PERSONNELLES

& RENFORCEMENT DES COMPÉTENCES
En 2014, le Maroc a ratifié la « Convention 108 » du Conseil de l’Europe, qui est le premier instrument
international juridique contraignant dans le domaine de la protection des données. En mai de la même
année, le Centre Marocain de Recherches Polytechniques et d’Innovations (CMRPI) avait organisé
un séminaire d’information et de sensibilisation sur les dangers et les menaces liés à l’utilisation
des nouvelles technologies de l’information. A cette occasion la CNDP avait présenté la loi 09-08
relative à la protection des données à caractère personnel, tout en abordant la problématique de la
cybercriminalité et ses menaces sur la vie privée des citoyens. Cette année constitue un tournant pour
la prise de conscience de la nécessité de renforcer les compétences en matière de cybersécurité.
31
RATIFICATION DE LA CONVENTION 108 – CONSEIL DE L’EUROPE
En août 2014, fut promulguée la loi n° 46-13 portant approbation de la « Convention 108 » du Conseil de
l’Europe, celle-ci concerne la protection des données à caractère personnel, ouverte à la signature le 28
janvier 1981, la Convention fut le premier instrument international juridique contraignant dans le domaine
de la protection des données. Aux termes de cette Convention, les parties doivent prendre les mesures
nécessaires en droit interne pour en appliquer les principes afin d’assurer, sur leur territoire, le respect des
droits fondamentaux de la personne humaine au regard de l‘application de la protection des données. Le
but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique,
quelle que soit sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales,
et notamment de son droit à la vie privée, à l‘égard du traitement automatisé des données à caractère
personnel la concernant.
DONNÉES PERSONNELLES ET CYBERCRIMINALITÉ
Le Centre Marocain de Recherches Polytechniques et d’Innovations (CMRPI) avait organisé en Mai 2014
à Marrakech, en partenariat avec la CNDP, le Ministère de l’Industrie, du Commerce, de l’Investissement
et de l’Economie Numérique, l’Ecole Nationale des Sciences appliquées, l’Association Internationale de
Lutte Contre la Cybercriminalité, ainsi que des experts internationaux dans le domaine de la sécurité des
systèmes d’information, un séminaire d’information et de sensibilisation sur les dangers et les menaces
liés à l’utilisation des nouvelles technologies de l’information et de la communication en particulier ceux
liés au cyberespace.
Cette initiative avait témoigné de la prise de conscience de toutes les instances scientifiques et dirigeantes
du pays de la nécessité d’adopter une approche proactive face aux risques et menaces réelles de la
cybercriminalité.
C’est dans ce cadre que la CNDP avait présenté les enjeux, les notions de base et le champ d’application de
la loi 09-08 relative à la protection des données à caractère personnel, elle a mis l’accent sur l’investigation
et le contrôle, tout en abordant la problématique de la cybercriminalité et ses menaces éventuelles sur la
vie privée des citoyens.
RENFORCEMENT DES COMPÉTENCES
En février 2014, un partenariat entre l’ENSIAS et le « International Council of e-commerce Consultants

(EC-Council) », a été signé dans le cadre du programme EC-Council Academia, destiné exclusivement aux
établissements universitaires pour offrir une certification qui vient compléter leurs acquis dans le cadre de
leur formation d’ingénieur informaticien spécialisée en Sécurité des Systèmes d’Information, et faciliter
leur insertion dans le monde professionnel. Il s’agit particulièrement du certificat CEH (Certified Ethical
Hacker) qui permet aux spécialistes en cybersécurité d’étudier et de comprendre les méthodes et les
outils utilisés par les pirates informatiques. Les compétences ainsi acquises permettent de renforcer avec
efficacité la sécurité de l’organisation.
En 2014 également, IBM Maroc a noué plusieurs partenariats visant la mise en place de l’IBM Academic
Program, un projet qui a pour objectif de créer et développer des cursus de formation autour des
technologies de l’Information au sein des universités partenaires, principalement dans les domaines du
cloud, business analytics, cybersécurité et le social business.
https://www.coe.int/fr/web/data-protection/convention108-and-protocol
https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-SECU-2015-PDF-F.pdf
32
9 C HAPITRE
2015 : GLOBAL CYBERSECURITY INDEX

V1 & COMPLEMENT 53-05
Le principal évènement de l’année 2015 est la publication par l’Union Internationale des
Télécommunications de la première version du « Global Cybersecurity Index » qui se décline selon les
réalisations de chaque pays par rapport au cadre juridique, des mesures techniques, des structures
organisationnelles, du développement des compétences et de la coopération. Cet index a classé le
Maroc à la 24ème position au niveau international, 3ème en Afrique et 4ème parmi les pays arabes.
33
GLOBAL CYBERSECURITY INDEX 2015
Le « Global Cybersecurity Index – GCI » est une enquête qui mesure l’engagement des États membres
de l’UIT, en faveur de la cybersécurité afin de sensibiliser le public. Sur la base des travaux réalisés par les
experts de la « Global Cybersecurity Agenda » (GCA), le bureau du développement de l’Union Internationale
des Télécommunications a instauré le « Global Cybersecurity Index » (GCI), qui est le fruit d’une étroite
collaboration avec « ABI Research » . Le GCI fournit des informations sur le niveau d’engagement des Etats
souverains en matière de cybersécurité. Ces informations ont été structurées selon les cinq domaines définis
par la GCA. : le cadre juridique, les mesures techniques, les structures organisationnelles, le renforcement
des capacités et la coopération internationale. Le GCI ne cherche pas à prouver l’efficacité ou le succès
d’une mesure en particulier, mais simplement l’existence des structures nationales en place pour mettre en
œuvre et promouvoir la cybersécurité.
La première version du GCI intitulé « Indice de cybersécurité dans le monde et profils de cyber bien-être » a
été publiée en avril 2015 et elle a classé le Royaume du Maroc à la 24ème position au niveau international,
en obtenant un score de « 0,559 », légèrement supérieur à la moyenne.
Tableau 1 : GCI 2015 - Monde
Cette première édition du « GCI » a classé le Maroc à la 3ème place au niveau du continent africain, ce
qui reflète ses grandes avancées en matière de « Cybersécurité », tout en pointant quelques faiblesses
en matière de coopération, cadre juridique et de renforcement des capacités. il est à signaler que ce
classement a fait l’objet d’une analyse spécifique, car le Royaume du Maroc appartient à la région « Pays
Arabes » selon l’organisation de l’UIT.
https://www.abiresearch.com/
https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-SECU-2015-PDF-F.pdf
34
Tableau 2 : GCI 2015 - Afrique
Cette première version du « GCI » a classé le Maroc à la 4ème position au niveau des pays arabes. Il a noté
que Oman s’était distingué par plusieurs actions de coopération, dont la mise en place, en partenariat avec
l’UIT, du « Computer Emergency Response Team » pour la région « Pays arabes » et qui a organisé des
opérations « Cyber drill » auxquelles le « maCERT » a été convié.
Tableau 3 : GCI 2015 – Pays Arabes
PROFIL CYBERSÉCURITÉ MAROC - UIT

Parallèlement à la publication de la première version du GCI, l’UIT a établi une fiche « Cyberwellness Profile »
pour chaque pays, qui reprend toutes les réalisations du pays concerné relatives à la Cybersécurité et à la
Protection des données personnelles. Pour la Cybersécurité, cette fiche reprend la classification proposée
par la GCA et retenue pour la détermination du Global Cybersecurity Index à savoir :
- Le Cadre Juridique
- Les Mesures Techniques
- Les Structures Organisationnelles
- Le Renforcement des Capacités
- La Coopération
La fiche détaillée « Cyberwellness Profile Morocco » est présentée en Annexe.
COMPLÉMENT À LA LOI 53-05
Décret N° 2-13-881 du 20 janvier 2015 modifiant et complétant le décret d’application de la loi N° 53-05
relative à l’échange électronique des données juridiques. Les arrêtés regroupés dans ce décret fixent les
formes de la déclaration, de la demande et du cahier des charges relatifs à la fourniture, l’exploitation ou
l’utilisation de moyens ou de prestations de cryptographie.
https://www.itu.int/en/ITU-D/Regional-Presence/ArabStates/Pages/Events/2019/Cyber/Cyber.aspx
https://www.itu.int/pub/D-STR-SECU-2015
http://cyber4d.org/wp-content/uploads/2021/06/Décret-N°-2-13-881-.pdf
35
10 CHAPITRE
2016 : INFRASTRUCTURES D’IMPORTANCE VITALE & DIRECTIVE

BANQUE AL MAGHRIB
L’année 2016 se distingue par la publication du Décret qui matérialise les orientations de la directive
nationale de la sécurité des systèmes d’information, qui s’appliquent particulièrement aux structures
d’importante vitale. Le second Décret était relatif au processus d’homologation des prestataires d’audit
de la sécurité des systèmes d’information. On notera également la publication par Bank Al Maghrib
de sa Directive n° 3/W/16 fixant les règles minimales à observer par les établissements de crédit pour
réaliser les tests d’intrusion des systèmes d’information.
36
DÉCRET POUR LA PROTECTION DES INFRASTRUCTURES D’IMPORTANCE

VITALE
Dans le cadre de cette stratégie, la DGSSI a élaboré la directive nationale de la sécurité des systèmes
d’information, qui s’applique à tous les systèmes d’information des administrations, des organismes publics
et des structures d’importance vitale, désignés ci-dessous par « Entité ». Cette directive a été matérialisée
par la publication du Décret 2-15-712 du 22 mars 2016, relatif à la protection des systèmes d’information
sensibles des infrastructures d’importance vitale.
Ce décret a permis de clarifier les différentes définitions relatives à la « sensibilité » des systèmes
d’information :
« Infrastructures d‘importance vitale » : Installations, ouvrages et systèmes qui sont indispensables

au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être
économique ou social, et dont le dommage ou l‘indisponibilité ou la destruction aurait un impact induisant
la défaillance de ces fonctions.
« Secteur d‘activités d‘importance vitale » : constitué d’activités concourant à un même objectif.

Ces activités ont trait soit à la production et la distribution de biens ou de services indispensables à la
satisfaction des besoins essentiels pour la vie des populations, ou à l‘exercice des prérogatives de l‘Etat,
ou au fonctionnement de l‘économie, ou au maintien des capacités de sécurité du pays, dès lors que ces
activités sont difficilement substituables ou remplaçables, ou qui peuvent présenter un danger grave pour
la population.
« Information sensible » : Information dont la compromission, l‘altération, le détournement ou la

destruction est de nature à nuire à la continuité du fonctionnement ou mettant en danger le patrimoine
informationnel de l’infrastructure d‘importance vitale.
« Système d‘information sensible d‘une infrastructure d‘importance vitale » : Système d‘information

traitant des informations sur lesquelles une atteinte à la confidentialité, à l‘intégrité ou à leur disponibilité
porterait préjudice à la continuité de fonctionnement de l‘infrastructure d‘importance vitale.
Les principales obligations de ces « Entités » se caractérisent par les principaux points suivants :
- Etablir un répertoire contenant les listes de ces systèmes d’information sensibles, sur la base des
résultats d‘une analyse des risques.
- Désigner un responsable de la sécurité de ces systèmes qui sera le point de contact vis-à-vis de
l‘autorité compétente.
- Communiquer au maCERT les informations relatives aux incidents majeurs affectant la sécurité ou le
fonctionnement de leurs systèmes d‘information sensibles.
- Soumettre leurs systèmes d‘information sensibles à un audit effectué par la DDSSI ou par des
prestataires privés homologués par l’autorité compétente.
- Préparer un plan de continuité et de reprise d‘activités intégrant l‘ensemble des solutions de
secours pour neutraliser les interruptions des activités.
- Protéger les processus métier cruciaux des effets causés par les principales défaillances des systèmes
d‘information ou par des sinistres et garantir une reprise de ces processus dans les meilleurs délais.
- S’assurer que l’externalisation de service applicatif fait l‘objet d‘un contrat de droit marocain, qui
doit intégrer les engagements de protection de l‘information, d‘auditabilité et de réversibilité.
http://cyber4d.org/wp-content/uploads/2021/06/BO_6458.pdf
37
PRESTATAIRES D’AUDIT DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
Le Décret n° 2-15-712 du 22 mars 2016, fixe le dispositif de protection des systèmes d’information sensibles
des infrastructures d’importance vitale (IIV), la DGSSI est responsable de la conduite d’audits périodiques
des systèmes d’information soit par ses propres moyens ou15 par des
ans de prestataires
Cybersécuritéd’audit homologués.
au Maroc

Des critères d’homologation des prestataires d’audit de la sécurité des systèmes d’information sensibles
des infrastructures d’importance vitale ainsi que les modalités de déroulement de ces audits, seront fixés
Prestataires d’Audit de la Sécurité des Systèmes d’Information
par un arrêté du Chef du Gouvernement. Ce système constitue un gage de confiance pour confier des
Le Décret
missions d’audit auxn°prestataires
29 2-15-712 du 22homologués.
mars 2016, fixe Il
le s’appuie
dispositif desur
protection des systèmes
la vérification d'information
d’un sensibles des
certain nombre de critères
infrastructures d'importance vitale (IIV), la DGSSI est responsable de la conduite d’audits périodiques des systèmes
attestant, notamment :
d’information soit par ces propres moyens ou par des prestataires d’audit homologués.
Des critères d’homologation des prestataires d’audit de la sécurité des systèmes d’information sensibles des
infrastructures d’importance vitale ainsi que les modalités de déroulement de ces audits, seront fixés par un arrêté du
- DesChef
références des prestataires
du Gouvernement. Ce systèmedans le domaine.
constitue un gage de confiance pour confier des missions d’audit aux
- De prestataires homologués.
la qualification Il s’appuie
de leurs sur la vérification
ressources d’un certain nombre de critères attestant, notamment :
humaines.
- De l’efficacité
Ø etDes
l’adéquation
références desdes méthodes
prestataires dans leetdomaine
outils; utilisés.
- De l’organisation
Ø Dedu travail etde
la qualification leleurs
respect des humaines
ressources règles déontologiques
; et de sécurité.
Ø De l’efficacité et l’adéquation des méthodes et outils utilisés ;
Ø De l’organisation du travail et le respect des règles déontologiques et de sécurité.
DIRECTIVE BANK AL MAGHRIB
Directive Bank Al Maghrib
Bank Al Maghrib : Directive n° 3/W/16 du 10 juin 2016 , fixant les règles minimales à observer par les
établissements
Bank Alde crédit
Maghrib pourn°réaliser
: Directive 3/W/16 dules tests
10 juin 2016d’intrusion desminimales
30, fixant les règles systèmes d’information
à observer :
par les établissements
de crédit pour réaliser les tests d’intrusion des systèmes d’information :
Objet Cette Directive fixe les règles minimales à observer par les établissements de crédit pour la
réalisation des tests d'intrusion sur leurs systèmes d'information.
Démarche A partir d’une cartographie des risques (intrusion/cyberattaque) de ses systèmes d'information,
l'établissement arrête annuellement un programme de tests (conformité légale, réglementaires et
contractuelles). En spécifiant le périmètre, la nature/ l'étendue et la fréquence des tests (site
principal ou de secours)
Fréquence Ø La fréquence, la nature et l'étendue des tests dépendront de la criticité des systèmes
d'information de l'établissement
Ø Pour les systèmes ouverts vers l’extérieur : Tests sur des périodes inférieur à l’année
Ø Tests systématiques à l'occasion de tout changement important dans le système
d'information
Responsabilité Le RSSI de l’établissement doit piloter les programmes de tests en coordination avec le DSI
Approche Ø Réaliser les tests sans connaissances préalables du SI cible,

Ø Réaliser les tests avec des connaissances préalables du SI cible.
Ø Réaliser des tests de l’intérieur et de l’extérieur de l’Etablissement
Compétence L’équipe interne en charge de certains tests doit disposer de l'expertise et des certifications
nécessaires (Prévoir formation).
Résultats Les résultats des tests doivent être portés à la connaissance de l'organe de direction et au comité
d'audit ou des risques
Actions Le RSSI doit faire le suivi des actions correctives qui seront préconisées pour donner suite aux
correctives résultats des tests
Documents La Directive exige que l’établissement transmette à BKAM, avant le 31 mars de chaque année,
exigés les documents suivants :
Ø La cartographie des risques
Ø Le programme des tests réalisés
Ø Le bilan des tests réalisés et résultats y afférents,
Ø Le bilan des plans d'actions correctifs
Ø Le programme de tests de l'année à venir.

29
https://www.dgssi.gov.ma/fr/content/decret-ndeg-2-15-712-du-12-joumada-ii-1437-22-mars-2016-fixant-le-dispositif-de-protection-des-
https://www.dgssi.gov.ma/fr/content/decret-ndeg-2-15-712-du-12-joumada-ii-1437-22-mars-2016-fixant-le-
dispositif-de-protection-des-systemes-d-information-sensibles-des-infrastructures-d-importance-vitale.html
systemes-d-information-sensibles-des-infrastructures-d-importance-vitale.html
http://cyber4d.org/wp-content/uploads/2021/06/Directive-Bank-Al-Maghrib.pdf
30
38 http://cyber4d.org/wp-content/uploads/2021/06/Directive-Bank-Al-Maghrib.pdf
11 CHAPITRE
2017 : GCI V2 & DIRECTIVE POUR LES INFRASTRUCTURES

D’IMPORTANCE VITALE
L’année 2017 a été marquée par la publication de la seconde édition qui a classé le Maroc 49ème
au niveau international, 4ème en Afrique et 7ème parmi les Pays Arabes. Ce classement pourrait
s’expliquer par le fait que le Maroc a gardé pratiquement le même score alors que d’autres pays ont
certainement réalisé des avancées significatives. Le second point est relatif à l’élaboration par la DGSSI
de la directive qui fixe les règles de sécurité et les modalités de déclaration des systèmes d’information
sensibles et des incidents de sécurité applicables aux infrastructures d’importance vitale. Elle complète
les règles contenues dans la Directive Nationale de la Sécurité des Systèmes d’Information et le Décret
relatif aux Infrastructures d’Importance Vitale.
39
GLOBAL CYBERSECURITY 2017
La seconde itération du GCI a été élaborée avec un index amélioré, des consultations plus ouvertes et
plus de partenaires. Une approche multipartite, qui tire parti de l’expertise de différentes organisations,
dans le but d’améliorer la qualité de l’ICG, d’insuffler une coopération internationale et de promouvoir
l’échange de connaissances sur ce sujet, a été formulée.
Le GCI s’articule autour du Programme mondial de cybersécurité (GCA) de l’UIT et de ses cinq piliers
(juridique, technique, organisationnel, renforcement des capacités et coopération). Pour chacun de ces
piliers, des questions ont été élaborées pour évaluer l’engagement. Grâce à la consultation d’un groupe
d’experts, ces questions ont été pondérées afin d’arriver à une note globale du GCI. Le sondage a été
administré au moyen d’une plateforme en ligne par laquelle des preuves à l’appui ont également été
recueillies. Cent trente-quatre (134) États membres ont répondu à l’enquête tout au long de l’année 2016.
Les États membres qui n’ont pas répondu ont été invités à valider les réponses déterminées à partir de
recherches open source.
La seconde version du GCI intitulée « Global Cybersecurity Index – 2017 » a été publiée en juillet 2017 et
elle a classé le Royaume du Maroc à la 49ème position au niveau international. Ce classement pourrait
s’expliquer par le fait que le Maroc a gardé un score de « 0,541 » pratiquement identique à celui de la
première édition « 0,559 », et que d’autres pays ont réalisés des avancées significatives.
Cette seconde édition du « GCI » a classé le Maroc à la 4ème place au niveau du continent africain, ce qui
reflète son maintien parmi les leaders de la Cybersécurité en Afrique.
il est à signaler que ce classement a fait l’objet d’une analyse spécifique, car le Royaume du Maroc appartient
à la région « Pays Arabes » selon l’organisation de l’UIT.
https://www.itu.int/en/ITU-D/Cybersecurity/Pages/GCI-2017.aspx
40
Cette deuxième édition du « GCI » a classé le Maroc à la 7ème position au niveau des pays arabes.
Ce classement avec pratiquement le même score que la précédente édition pourrait s’expliquer par des
avancées significatives réalisées par la Tunisie, l’Arabie Saoudite et les Emirats Arabes Unis.
DIRECTIVE SÉCURITÉ DES INFRASTRUCTURES D’IMPORTANCE VITALE
L’Administration de la défense nationale avait élaboré un décret fixant le dispositif de protection des
systèmes d’information sensibles des infrastructures d’importance vitale. Ledit décret a été publié au
Bulletin Officiel du 21 avril 2016.
Dans le prolongement de ces dispositions, la DGSSI a élaboré cette directive qui fixe les règles de
sécurité et les modalités de déclaration des systèmes d’information sensibles et des incidents de sécurité
applicables aux infrastructures d’importance vitale. Elle complète les règles contenues dans la Directive
Nationale de la Sécurité des Systèmes d’Information (DNSSI) et explicite celles figurant dans le décret
fixant le dispositif de protection des systèmes d’information sensibles des infrastructures d’importance
vitale. Toute infrastructure d’importance vitale disposant de systèmes d’information sensible est tenue
d’appliquer les règles de sécurité contenues dans la présente directive. Celles-ci seront complétées par
d’autres règles de sécurité spécifiques à certains secteurs d’activité d’importance vitale.
https://dgssi.gov.ma/fr/content/directive-fixant-les-regles-de-securite-et-les-modalites-de-declaration-des-
systemes-d
41
12 CHAPITRE
2018 : GCI V3 & CYBERSÉCURITÉ EN CHIFFRES AU MAROC
L’année 2018 a été marquée par la troisième édition du GCI qui a évolué à la suite des commentaires
et des points de vue des membres de l’UIT, en plus des commentaires du groupe de travail d’experts.
Le GCI 2018 a classé le Maroc à la 93ème position au niveau mondial, 16ème en Afrique et 10ème
parmi les Pays Arabes. Ce classement ne reflétait certainement pas la réalité, mais il est certainement
dû au changement de méthode d’évaluation et aux manques d’informations dont disposait l’UIT. La
même année, l’UIT a publié un Guide de stratégie nationale de cybersécurité, qui met l’accent sur la
protection des aspects civils du cyberespace et souligne les principes généraux et les bonnes pratiques
à prendre en compte lors de l’élaboration et de la mise en œuvre d’une stratégie nationale.
42

La troisième édition du GCI présente des évolutions à la suite des commentaires et aux points de vue
des membres de l’Union, en plus des commentaires du groupe de travail d’experts. Les points suivants
aideront le lecteur à comprendre en quoi le sondage qui génère les résultats du GCI diffère des précédentes
éditions :
- Le nombre de questions est passé de 153 à 50.

- Un groupe de travail d’experts de l’UIT a réévalué et modifié les valeurs de pondération pour cette
édition.
- Des recherches et la collecte de données provenant de sources officielles ont été utilisées .
- Des éléments sur la protection de l’enfance en ligne ont été inclus dans les questions et la notation.
Figure 7 : GCI 2018 - UIT

La troisième édition intitulée « Global Cybersecurity Index 2018 » a classé le Maroc à la 93ème position au
niveau international, en obtenant un score de « 0,429 ». Cette position pourrait s’expliquer par le fait que
l’UIT a modifié complètement ses méthodes d’évaluation (voir ci-dessus) et qu’elle n’a pas pu accéder à
toutes les informations relatives aux avancées réalisées pendant cette période par le Maroc.
Il est à noter que le score du Maroc a été impacté, d’après l’UIT, par les faiblesses relatives aux axes « Cadre
légal » et « Renforcement des capacités ».
http://cyber4d.org/wp-content/uploads/2021/06/Global-Cybersecurity-Index-GCI-2018.pdf
43
Cette édition du « GCI » a classé le Maroc à la 16ème place au niveau du continent africain, qui ne reflète
pas ses réalisations en matière de « Cybersécurité », car celles-ci n’ont pas été évaluées par l’UIT.
Cette troisième édition du « GCI » a classé le Maroc à la 10ème place au niveau des pays arabes, car les
évaluateurs n’ont certainement n’ont pas tenu compte des avancées réalisées par le Maroc pendant la
période analysée.
44
CYBERSÉCURITÉ EN CHIFFRES AU MAROC
C’est en 2018 que PwC-Maroc a publié le premier « Global State of Information Security® Survey – Focus
Maroc » et qui précise que « dans un contexte où les entreprises Marocaines s’engagent fortement dans
la digitalisation et l’ouverture de leur Système d’Information, où la règlementation de certains secteurs et
les Directives nationales exigent un renforcement des dispositifs en matière de protection des informations
sensibles, la cyber sécurité devient un enjeu majeur pour les entreprises marocaines.
Au sein des entreprises marocaines, cette prise de conscience, se traduit par une phase d’investissement
sur les problématiques de cybersécurité où la part des budgets alloués par rapport aux budgets IT est plus
de deux fois supérieure à la moyenne mondiale.
La majorité des grandes entreprises se montrent proactives et prennent la mesure du risque cybersécurité,
La conformité règlementaire reste cependant le moteur majeur devant la transformation digitale. Les
Petites et Moyennes entreprises restent globalement réactives et ne prennent la mesure du risque cyber
qu’après un incident ou les recommandations d’un audit. »
Cette première étude a fait ressortir les indicateurs suivants :
- 70% des répondants jugent que leur stratégie n’est pas implémentée à une à une vitesse suffisante
25% des organisations qui ont défini une gouvernance, en ont approuvé le cadre au niveau du
comité de Direction.
- 75% des organisations disposaient de RSSI en 2017 (vs 50% au niveau mondial), seules 21%
estiment que la fonction est mature.
- 72% considèrent que les budgets cybersécurité restent insuffisants, malgré les hausses significatives
en 2017.
- 28% mesurent l’efficacité de leurs politiques, processus et procédures de cybersécurité.
- 28% pensent que leurs dispositifs de protection et de détection en matière de cybersécurité sont
efficaces.
- 42% ont confiance en leur capacité à répondre à un incident s’il survenait et à gérer une situation
de crise.
- 61% s’estiment en mesure d’identifier l’origine d’un incident de cybersécurité (vs 39% au niveau
mondial).
PwC avait prévu de sortir le même type de rapport tous les deux ans, mais avec l’avènement de la pandémie,
il leur était difficile de tenir cet objectif.
45
13 CHAPITRE
2019 : PRESTATAIRES D’AUDIT & EXTERNALISATION
lors de l’année 2019, la DGSSI a mis en place un Référentiel qui regroupe les exigences à respecter
par les prestataires d’audit pour leur homologation Ce système constitue un gage de confiance pour
confier des missions d’audit aux prestataires homologués. Par ailleurs la DGSSI avait organisé un
séminaire d’information et de sensibilisation sur la cybersécurité, pour apporter un éclairage sur les
questions relatives à l’externalisation et au Cloud, afin d’aider les administrations, les organismes publics,
les infrastructures d’importance vitale et opérateurs du secteur privé, à disposer de suffisamment
d’éléments susceptibles et à maitriser des problématiques liées à l’externalisation et le Cloud.
46
RÉFÉRENTIEL D’HOMOLOGATION DES PRESTATAIRES D’AUDIT DE LA SSI

Conformément aux dispositions du décret relatif au dispositif de protection des systèmes d‘information
sensibles des infrastructures d‘importance vitale (IIV), la DGSSI est responsable de la conduite d’audits
périodiques des systèmes d’information en question soit par ses propres moyens ou par des prestataires
d’audit homologués. Le décret stipule que les critères d’homologation. des prestataires d’audit de la
sécurité des systèmes d’information sensibles des infrastructures d’importance vitale ainsi que les modalités
de déroulement de ces audits doivent être fixés par un arrêté du Chef du Gouvernement.
C’est dans ce cadre que la DGSSI a élaboré un référentiel dont l’objectif de regrouper les exigences
à respecter par les prestataires d’audit en vue d’être homologués par la DGSSI. Ce système constitue
un gage de confiance pour confier des missions d’audit aux prestataires homologués. Il s’appuie sur la
vérification d’un certain nombre de critères attestant, notamment :
Cette première étude a fait ressortir les indicateurs suivants :

- Des références des prestataires dans le domaine.
- De la qualification de leurs ressources humaines.
- De l’efficacité et l’adéquation des méthodes et outils utilisés.
- De l’organisation du travail et le respect des règles déontologiques et de sécurité.
- La démarche de réalisation.
EXTERNALISATION ET CLOUD
Pour apporter un éclairage à ces questions et disposer de suffisamment d’éléments susceptibles d’aider à
la maitrise des problématiques liées à l’externalisation au sein de nos administrations, organismes publics,
infrastructures d’importance vitale et opérateurs du secteur privé, la DGSSI organise la 7° édition du
séminaire d’information et de sensibilisation sur la cybersécurité. La thématique retenue à cet effet porte
sur « l’externalisation des Systèmes d’Information et les enjeux de la cybersécurité ».
« Lors de la 7ème édition du séminaire sur la cybersécurité, un sujet d’actualité a été débattu, en l’occurrence
l’externalisation et le Cloud. L’externalisation consiste pour une organisation à confier à des partenaires
extérieurs, la réalisation de tout ou partie des activités qu’elle réalisait préalablement en interne. Quand
il s’agit d’activités liées aux systèmes d’information, cette pratique porte des noms comme infogérance,
Tierce Maintenance Applicative ou Cloud Computing. Il s’agit de démarches pratiques largement tolérées,
voire souvent inscrites dans les stratégies de développement des entreprises privées et de certains
organismes publics et Infrastructures d’Importance Vitale.
L’externalisation peut être globale et concerner l’intégralité des composantes du système d’information
ou partielle et se limiter à certaines activités comme le développement, l’exploitation ou la maintenance
d’applications, ou encore l’hébergement, la fourniture de matériel et logiciels ou la supervision du système
d’information.
Le Cloud Computing peut être considéré comme une extension naturelle de l’offre d’externalisation. Il est
associé à la virtualisation et aux solutions IaaS (Infrastructure as a Service), PaaS (Platform as a Service) et
SaaS (Software as a Service). On peut différencier quatre types d’implémentation partant du Cloud privé au
Cloud public en passant par les cloud hybride et communautaire. Chacune de ces implémentations désigne
un degré plus ou moins élevé en termes d’externalisation et de dépendance vis-à-vis du prestataire.
47
Le recours à l’externalisation présente les avantages suivants :
- Réduire les coûts d’investissement et de fonctionnement des systèmes d’information.

- Se consacrer à son cœur de métier.
- Faire évoluer son système d’information de manière agile.
- Bénéficier de l’expérience du prestataire.
Cependant les risques opérationnels sont étroitement liés à la perte du savoir-faire en interne et à la
perte du contrôle de l’activité. Les aspects réglementaires et juridiques constituent un point important
qu’il convient de considérer avant de confier tout ou partie de son système d’information à un partenaire
externe.
En effet, des sous-traitants peuvent avoir accès à des informations à caractère sensible dont la divulgation
consciemment ou inconsciemment à des tiers, peut avoir des conséquences néfastes pour l‘organisme
concerné. Aussi, les risques liés à la disponibilité ou même à l’intégrité des données traitées dans les
systèmes externalisés peuvent s’avérer difficilement maitrisables chez un prestataire externe.
Aussi, parmi les nombreux secteurs qui font appel à l’externalisation aujourd’hui, ceux de la banque et de
l’assurance représentent une majorité. Le secteur public n’est pas exclu de la tendance. On y remarque
d’ailleurs un intérêt croissant pour les offres en Cloud.
Malgré tous les risques précités, l’externalisation est devenue en quelques années une tendance en vogue
à laquelle de nombreuses structures ont déjà eu recours ou envisagent de le faire prochainement. En effet,
externalisation et sécurité ne sont pas toujours contradictoires. Le recours à un prestataire peut s’avérer
dans certains cas un choix souhaitable notamment, lorsque les ressources financières ou les compétences
disponibles en interne sont insuffisantes. Allier externalisation et sécurité suscite de nombreuses questions
auxquelles les responsables des systèmes d’information doivent apporter une réponse afin de maitriser les
risques tout en tirant profit de cette évolution technologique ».
48
14 CHAPITRE
2020 : LOI 05-20 CYBERSÉCURITÉ & LOI 43-20

TRANSACTIONS ÉLECTRONIQUES
L’année 2020 a été marquée par de grands bouleversements pour les organisations à l’échelle de
la planète. Une pandémie mondiale et l’accélération de la transformation numérique ont ouvert la
voie à un virage vers le travail à distance et à une « nouvelle normalité » qui, en fait, n’a rien de
normal. Ces transformations ont également élevé considérablement le niveau de risque en matière
de sécurité de l’information, puisque les fraudeurs en ligne du monde entier ont profité du contexte
extrêmement volatile en organisant des attaques d’hameçonnage ciblées. Cette année a été marquée
par la promulgation de deux Lois importantes : la 05-20 qui vise la mise en place d’un cadre juridique
préconisant aux entités un socle minimal de règles et de mesures de sécurité afin d’assurer la fiabilité
et la résilience de leurs Systèmes d’Information et la 42-20 relative aux services de confiance pour les
transactions électroniques a pour objectif de mettre en place un nouveau cadre juridique et même
de répondre aux besoins des acteurs économiques, publics, privés, administrations publiques et
citoyens, à travers l’organisation des signatures électroniques, du cachet électronique, de l’horodatage
électronique, des services de transmission électronique sécurisée et de la vérification des sites Web.
49
LOI 05-20 SUR LA CYBERSÉCURITÉ
Cette loi 05-20 vise la mise en place d’un cadre juridique préconisant aux Infrastructures d’Importance
Vitale (IIV) et aux « Entités » concernées, un socle minimal de règles et de mesures de sécurité afin d’assurer
la fiabilité et la résilience de leurs Systèmes d’Information. Elle a aussi pour objectifs le développement de
la confiance numérique, la digitalisation de l’économie et plus généralement l‘assurance de la continuité
des activités économiques et sociétales de notre Pays. Et ce, afin de favoriser le développement d’un
écosystème National de cybersécurité.
Il est à noter que, d’après les explications données par les responsables de la DGSSI lors d’un webinaire
organisé par l’APEBI en avril 2021, la notion « Entité » concerne les opérateurs de Télécommunications,
les Fournisseurs d’Accès Internet, les Prestataires de Services en Ligne etc…, ainsi que les Entreprises
appartenant à un « Secteur d’Importance Vitale ». Ce qui fait ressortir clairement que les PME et les TPE
qui ne font pas partie de cette catégorie ne sont pas concernées par cette Loi. Il a été précisé que le Décret
d’application est en cours d’élaboration.
Cette loi stipule particulièrement, que chaque « Entité » devra :
- Elaborer et mettre en œuvre une politique de sécurité de ses systèmes d’information.

- Identifier les risques qui menacent la sécurité de ses Systèmes d’Information et prendre des mesures
techniques et organisationnelles nécessaires pour les gérer.
- Désigner un RSSI qui veille à l’application de la politique de sécurité des SI.
Le RSSI est l’interlocuteur de l’autorité nationale de la cybersécurité et doit jouir de l’indépendance requise
dans l’exercice de sa mission, il doit déclarer à l’Autorité Nationale, les incidents affectant la sécurité ou le
fonctionnement des Systèmes d’Information dont il a la charge.
Les données sensibles (d’après les explications obtenues c’est à l’Entité de les définir) doivent être
exclusivement hébergées sur le territoire national, et toute externalisation d’un système d’information
sensible doit faire l’objet d’un contrat de droit marocain.
On notera que la loi est muette en ce qui concerne la sensibilisation et la protection du citoyen et plus
particulièrement la protection des enfants, contre les risques de cybersécurité.
LOI 43-20 SUR LES TRANSACTIONS ÉLECTRONIQUES
La loi n°43.20 relatif aux services de confiance pour les transactions électroniques a pour objectif de
mettre en place un nouveau cadre juridique à même de répondre aux besoins des acteurs économiques,
publics, privés, administrations publiques et citoyens, à travers l’organisation des signatures électroniques,
du cachet électronique, de l’horodatage électronique, des services de transmission électronique sécurisée
et de la vérification des sites Web.
Elle vise aussi à établir un cadre juridique moins restrictif et plus approprié pour les diverses transactions
et à clarifier l’effet juridique de la signature électronique simple et avancée, de sorte que l’effet juridique
des deux signatures électroniques ne puisse être rejeté ou non accepté simplement parce qu’elles sont
présentées sous forme électronique ou parce qu’elles ne répondent pas aux exigences d’une signature
électronique qualifiée.
http://cyber4d.org/wp-content/uploads/2021/06/Loi-05-20-sur-la-Cyberse%CC%81curite%CC%81.pdf
50
Les principaux chapitres de cette loi, concernent les volets suivants :
- La certification électronique, élément clé de la confiance numérique.
- Un nouveau cadre juridique pour faire évoluer l’offre de certification électronique.

- La réglementation actuelle a été assouplis pour permettre une adoption généralisée de la
certification électronique.
- Un nouveau cadre juridique qui répond aux besoins exprimés par les acteurs économiques et
les administrations.
- Un cadre juridique enrichi d’approches et initiatives internationales variées et pragmatiques
- Un nouveau cadre juridique, moins contraignant, plus complet et adapté à la diversité des
usages.
La loi 43.20 a permis de lever les différents obstacles juridiques identifiés au développement du marché
de la confiance numérique au Maroc. Les modifications apportées par cette nouvelle loi ont permis
d’encadrer davantage les niveaux non qualifiés en rajoutant un niveau intermédiaire dit « avancé » à l’instar
de la réglementation européenne. Ce niveau permet aujourd’hui de répondre aux contraintes légales qui
incombent à chaque type de transaction, et de couvrir la plupart des besoins afin de garantir son adoption
à grande échelle.
A ce titre, trois niveaux de signatures ont été ainsi retenus par la loi 43.20 :
NIVEAU « SIMPLE »
- Pas d’exigences techniques ou fonctionnelles spécifiées, pour un usage simplifié.
- Pas de présomption de fiabilité : la charge de la preuve revient au défendeur.
NIVEAU « AVANCÉ »
- Meilleure reconnaissance juridique que le niveau simple : exigences techniques et
organisationnelles de niveau intermédiaire (notamment le recours à un certificat électronique), plus
souples que la signature qualifiée.
- Utile pour le développement d’usages à moyen enjeu.
- Pas de présomption de fiabilité : la charge de la preuve revient au défendeur.
NIVEAU « QUALIFIÉ »
- Usage obligatoire des produits de cryptographie et d’un certificat électronique qualifié.
- Bénéficie de la présomption de fiabilité.
- Utile pour le développement d’usages à fort enjeu.
- Reprend les concepts de la signature « sécurisée ».
LOI 72-18 REGISTRE NATIONAL DE LA POPULATION
En effet, le Maroc a adopté la loi n°72-18 relative au dispositif de ciblage des bénéficiaires des programmes
d’appui social et reposant sur la création de deux principaux outils : le Registre National de la Population
(RNP) et le Registre Social Unifié (RSU).
https://add.gov.ma/storage/pdf/Avril_NOG_ADD_fr_SITE_VF.pdf
51
ADD-ORIENTATIONS GÉNÉRALES 2025
La Note d’Orientation Générale de l’Agence de Développement du Digital, en vue d’accélérer la

transformation digitale et de répondre aux enjeux socio-économiques, propose une vision pour les cinq
prochaines années, qui se décline en trois objectifs :
- Une administration digitale au service des citoyens et des entreprises, avec un taux de satisfaction
plus de 85.%
- Une économie compétitive grâce aux gains de performances amenés par le Digital et au
développement des secteurs technologiques, et ériger le Maroc en tant que Hub Digital au niveau
Africain.
- Une société inclusive grâce au Digital, en vue d’améliorer la qualité de vie des citoyens.
Pour garantir la concrétisation de la vision cible et ses objectifs, les orientations générales s’articulent
autour de trois axes stratégiques :
- Axe 1 : « Administration digitale » regroupe les différentes initiatives visant à assurer la transformation
digitale de l’administration marocaine.
- Axe 2 : « Ecosystème Digital et innovation » a pour ambition de garantir le développement accéléré
de l’économie digitale au Maroc.
- Axe 3 : « Inclusion sociale et développement humain » vise à améliorer la qualité de vie des citoyens
via le Digital.
Pour mettre en œuvre cette vision et mettre en place un environnement favorable au développement du
Digital, il s’agira de mettre en place quatre piliers :
- Un programme dédié de formation aux nouveaux métiers du Digital.

- Une infrastructure adaptée.
- Un cadre réglementaire adéquat.
- Une culture du Digital ancrée au niveau national.
On constate qu’à aucun moment, la « Note d’Orientation Générale » ne fait allusion à la Confiance
Numérique, qui devrait être prise en considération par l’ADD, et ceci en étroite collaboration avec la
Direction Générale de la Sécurité des Systèmes d’Information. La seule initiative en relation avec la
Confiance Numérique, dont a parlé le Directeur de l’ADD, Mohammed Drissi Melyani, dans un entretien
accordé à la MAP en décembre 2020 est relative au lancement d’une étude portant sur le développement
des infrastructures numériques nationales (Data Centres et Cloud).
52
15 CHAPITRE
2021 : DÉCRET 2-21-406, OXFORD CMM & GCI V4
L’année 2021 a été marquée par l’approbation du Décret 2-21-406 qui a apporté les précisions
nécessaires concernant l’application de la loi 05-20. En juin, la DGSSI et le « Global Cyber Security
Capacity Centre » de l‘Université d‘Oxford ont organisé des rencontres en vue d’évaluer la maturité
de la Cybersécurité au niveau national. Cette analyse est effectuée selon le modèle de maturité de la
capacité de cybersécurité pour les nations (CMM). Le 29 juin 2021, l’UIT a publié son quatrième « Cyber
Security Index » qui a classé le Maroc à la 50ème position parmi 182 pays, gagnant ainsi 43 places par
rapport à la précédente évaluation.
53
DÉCRET 2-21-406 POUR L’APPLICATION DE LA LOI 05-20
En date du 28 juin 2021, le conseil des ministres a approuvé le Décret n° 2-21-406 concernant l’application
des dispositions de la loi n°05-20 relative à la cybersécurité. Ce décret a apporté les éclaircissements de
certains points abordés au niveau de la loi, et il vise principalement à définir les mesures de protection
des systèmes d’information des administrations de l’Etat, des établissements et entreprises publics et
toute autre personne morale de droit public, ainsi que ceux des infrastructures d’importance vitale et des
opérateurs privés. Il détermine également les critères de qualification des prestataires de services d’audit
et des prestataires de services de cybersécurité.
Dans ce cadre, les principales dispositions du décret s’articulent autour des points ci-après :
- Les organes de gouvernance chargés de la cybersécurité (l’autorité nationale de cybersécurité

& le comité stratégique de la cybersécurité).
- Mesures de protection de la sécurité des systèmes d’information du secteur public.
- Dispositions propres aux opérateurs, aux prestataires d’audit et prestataires de service de cybersécurité.
OXFORD CMM : MODÈLE DE MATURITÉ DE LA CYBERSÉCURITÉ NATIONALE
Entre juin et juillet 2021, la DGSSI et le « Global Cyber Security Capacity Centre » (GCSCC) de l’Université
d’Oxford ont organisé des rencontres avec les parties prenantes (Public et Privé), en vue d’évaluer la
maturité de la Cybersécurité au niveau national. Cette analyse est effectuée selon le modèle de maturité
de la capacité de cybersécurité pour les nations (CMM) qui a été élaboré par le GCSCC en consultation
avec plus de deux cents experts internationaux issus de gouvernements, d’organisations internationales,
du monde universitaire, des secteurs publics et privés et de la société civile. Il s’agit d’un cadre destiné à
faciliter l’évaluation de la maturité de la capacité de cybersécurité d’un pays.
CMM considère que la cybersécurité comprend cinq dimensions qui, ensemble, constituent l‘étendue
de la capacité nationale dont un pays a besoin pour être efficace en matière de cybersécurité :
- Développer une politique et une stratégie de cybersécurité.

- Encourager une culture et une société responsables en matière de cybersécurité.
- Développer les connaissances et les capacités en matière de cybersécurité.
- Créer des cadres juridiques et réglementaires efficaces.
- Maîtriser les risques, grâce à des normes et des technologies.
http://cyber4d.org/wp-content/uploads/2021/07/decret_n_2-21-406_pour_l_application_de_la_
loi_n_05-20_relative_a_la_cybersecurite_version_finale_en_francais.pdf
54
L‘examen des capacités nationales en matière de cybersécurité dans le cadre du CMM implique la collecte
de données par le biais de consultations des parties prenantes (groupes de discussion), et de recherches
documentaires.
L‘objectif est de produire un rapport fondé sur des données probantes, qui est soumis au gouvernement
pour :
- Évaluer la maturité de la capacité de cybersécurité d‘un pays.

- Détailler un ensemble d‘actions pragmatiques pour contribuer à combler les écarts de maturité de
la capacité de cybersécurité.
- Identifier les priorités en matière d’investissement et de renforcement des capacités futures.
La quatrième édition du GCI présente une évolution importante des réalisations du Maroc, qui est classé
50ème parmi 182 pays, avec un gain de 43 places par rapport à la précédente publication de 2018.
Et ceci est certainement dû aux efforts remarquables réalisés par la DGSSI au cours des trois dernières
années, ainsi que de l’implication de ses équipes qui ont fourni toutes les informations utiles aux experts
de l’UIT en charge de cette évaluation. On notera cependant que des améliorations sont nécessaires
pour améliorer la note relative aux « Mesures Organisationnelles », qui sont « fondées sur l’existence
d’institutions, de politiques et de stratégies de coordination pour le développement de la cybersécurité
au niveau national » selon l’UIT.
http://cyber4d.org/wp-content/uploads/2021/07/Global-Cybersecurity-Index-2020.pdf
55
Figure 8 : Maroc – 50ème - GCI 2021 – UIT
Le « Global Cybersecurity Index 2020 », publié le 29 juin 2021 fait ressortir un écart important avec le Top
5 des Pays Arabes, et classe le Maroc à la 7ème position.
Cette édition du « GCI » a classé le Maroc à la 7ème place en Afrique. L’analyse de la décomposition de
l’indice démontre que le Maroc pourra facilement être dans le Top 5 du continent africain.
56
Pour une meilleure compréhension des notes accordées à chacun des « Piliers », il nous a semblé utile de
15 ans de Cybersécurité au Maroc
communiquer ci-dessous les descriptions
de chacun d’eux, telles que publiées par l’UIT.
Tableau 13 : GCI 2020 – Les 5 Piliers
Piliers Description
Mesures juridiques Les mesures juridiques (y compris la législation, la réglementation et la

législation relative aux « spam ») autorisent un État à mettre en place des
Mesures fondées sur l’existence mécanismes de réponse de base par le biais d’enquêtes et de poursuites pour
de cadres juridiques traitant de les crimes et l’imposition de sanctions en cas de non-conformité ou d’infraction
la cybersécurité et de la à la loi.
cybercriminalité. Un cadre législatif établit la base minimale du comportement sur laquelle
d’autres capacités en matière de cybersécurité peuvent être construites.
Fondamentalement, l’objectif est de disposer d’une législation suffisante pour
harmoniser les pratiques aux niveaux régional et international et simplifier la
lutte internationale contre la cybercriminalité.
Mesures techniques La mise au point et l’utilisation efficaces des Technologies de l’Information ne
peuvent prospérer que dans un environnement de confiance et de sécurité.
Mesures fondées sur l’existence Les pays doivent donc élaborer et installer des critères de sécurité minimale
d’institutions techniques et d’un acceptés et des schémas de classification pour les applications et systèmes
cadre traitant de la d’information. Ces efforts doivent être complétés par la mise en place d’un
cybersécurité. organisme national traitant des cyber-incidents, d’une entité gouvernementale
faisant autorité et d’un cadre national pour surveiller, avertir et intervenir en cas
d’incident.
Mesures organisationnelles Les mesures organisationnelles comprennent la détermination des objectifs et
des plans stratégiques en matière de cybersécurité, ainsi que la définition
Mesures fondées sur l’existence officielle des rôles, des responsabilités et des obligations redditionnelles de
d’institutions, de politiques et l’établissement pour assurer leur mise en œuvre. Ces mesures sont
de stratégies de coordination indispensables pour approuver l’élaboration et la mise en œuvre d’une posture
pour le développement de la de cybersécurité efficace.
cybersécurité au niveau Des cibles et des objectifs stratégiques généraux doivent être fixés par l’État,
national. ainsi qu’un plan inclusif de mise en œuvre, de livraison et de mesure. Les
agences nationales doivent être présentes pour mettre en œuvre la stratégie et
évaluer les résultats. Sans une stratégie nationale, un modèle de gouvernance
et un organe de surveillance, les efforts déployés dans différents secteurs sont
contradictoires, ce qui empêche les efforts visant à obtenir une harmonisation
efficace du développement de la cybersécurité.
Mesures de renforcement des Le renforcement des capacités comprend des campagnes de sensibilisation du
capacités public, un cadre pour la certification et l’accréditation des professionnels de la
cybersécurité, des cours de formation professionnelle en cybersécurité, des
Mesures fondées sur l’existence programmes éducatifs ou des programmes universitaires, etc.
de programmes de recherche- Ce pilier est intrinsèque aux trois premiers piliers (juridique, technique et
développement, d’éducation et organisationnel). La cybersécurité est le plus souvent abordée dans une
de formation, de professionnels perspective technologique, même s’il existe de nombreuses implications socio-
certifiés et d’organismes du économiques et politiques. Le renforcement des capacités humaines et
secteur public favorisant le institutionnelles est essentiel pour sensibiliser, et renforcer les connaissances et
renforcement des capacités. le savoir- faire dans tous les secteurs, pour trouver des solutions systématiques
et appropriées, et pour promouvoir le développement de professionnels
qualifiés.
Mesures de coopération En raison du niveau sans précédent d’interconnexion entre les États, la
cybersécurité est une responsabilité partagée et un défi transnational. Une plus
Mesures fondées sur l’existence grande coopération peut permettre le développement de capacités de
de partenariats, de cadres de cybersécurité beaucoup plus fortes, contribuant à atténuer les cyber-risques et à
coopération et de réseaux permettre de meilleures enquêtes, appréhensions et poursuites contre les
d’échange d’informations. agents malveillants.
57
TENDANCES DE LA
CYBERSÉCURITÉ EN 2021
La crise sanitaire en 2020 représente une aubaine pour les
cybercriminels, qui ont démultiplié leurs attaques depuis
l’intensification de l’usage du numérique depuis les périodes
de confinement. D’après le site TheFuturOIThings.com, « …
les pirates lancent une cyberattaque toutes les 39 secondes, en
faisant preuve de créativité pour trouver de nouvelles façons
d’exploiter les technologies en accédant à des données, des
réseaux et des mots de passe précieux, pour contourner les
différentes barrières de sécurité ».
Ce constat devrait inquiéter tous les Conseils d’Administration

et les Dirigeants des organisations aussi bien publiques que
privées, dont la responsabilité est de s’informer et de se
donner les moyens pour faire face aux nouvelles tendances
des différents types de menace, dans le Top 5, on trouvera :
1 - Le « Phishing » (hameçonnage) peut être concrétisé

par la réception d’un message de la part d’une organisation
de confiance (fausse page conçue par le pirate) en vue
de demander à l’utilisateur de fournir des données
confidentielles (identité, mots de passe…), de réaliser un
paiement (identifiants de carte bancaire…) ou encore d’ouvrir
une pièce jointe ou cliquer sur un lien qui peut contenir un
virus ou un logiciel malveillant qui peut causer des dégâts
importants. Lorsque l’hameçonnage atteint son objectif, il
permet de réaliser d’autres types de cyberattaques, tel que le
« Ransomware », le piratage de compte en ligne, l’élaboration
de faux virements etc….
2 - Le « Ransomware » (Rançongiciels), à l’origine c’est

un virus contenu dans la pièce jointe d’un message qui,
en se déclenchant, crypte les données de l’utilisateur et le
pirate lui réclame une rançon pour lui en redonner l’accès.
Actuellement, ce type d’attaques sont très sophistiquées et
visent principalement les professionnels, auxquels le groupe
de pirates (avec chacun sa spécialité : intrusion, chiffrement,
blanchiment …) réclament des montants conséquents étant
donné l’impact que ces attaques peuvent avoir sur les
activités professionnelles de la victime. Et ceci peut générer
un arrêt de l’activité sur plusieurs semaines et dans certains
cas des données importantes. Le mode opératoire en vogue,
en ce début 2021, consiste à dérober d’abord des données
sensibles, dont la divulgation constitue un moyen de pression
supplémentaire pour la demande de rançon.`
58
3 - Le piratage de compte en ligne concerne aussi bien les comptes bancaires, que ceux des plateformes
de commerce en ligne, de réseaux sociaux ou encore de messagerie. En accédant à ces comptes, le pirate
peut effectuer des virements à partir d’un compte bancaire, de faire des achats au niveau du site marchand.
L’accès à ce type de compte est généralement le fruit d’un « Phishing » ou l’usage d’un même mot de
passe sur plusieurs sites, dont l’un d’entre eux a été compromis. La tendance observée, en début 2021,
est l’intérêt croissant pour les comptes de messagerie qui constituent un point d’entrée pour accéder aux
données et aux services en lignes de la victime.
3 - Les Menaces « Internet of Things - IoT » (Objets connectés) En 2020, les cyberattaques visant les
objets connectés ont connu une hausse de plus de 50% par rapport à l’année d’avant. Ceci est dû à la
généralisation des objets connectés dans plusieurs secteurs d’activités dont l’industrie, la santé etc.…,
qui constituent un point d’entrée idéale pour pénétrer les réseaux d’entreprise, d’autant plus que leurs
infrastructures est souvent non sécurisée et mal entretenue.
On constatera de plus en plus de cyberattaques qui toucheront les chaînes de fabrication et
d’approvisionnement dans l’industrie car les objets connectés sont de plus en plus utilisés. Les attaques
« IoT » liées à la santé pourraient elles aussi croître de manière significative, d’autant plus que l’année 2020
a connu une augmentation très importante de cyberattaques touchant les établissements de santé.
5 - Les arnaques au faux support technique, pendant leur navigation, les victimes voient apparaître un
message les incitant à appeler un numéro pour leur apporter une assistance technique qui est nécessaire
immédiatement. Après un soi-disant dépannage à distance, la victime reçoit une facture conséquente à
payer. Ce type d’attaque a connu une diversification des méthodes d’approche et dans les conséquences
pour les victimes, car les pirates ne se contentent plus des montants facturés, mais ils s’approprient les
données de la victime pour augmenter ses profits. Dans certains cas, les victimes sont rappelées quelques
mois plus tard pour leur faire payer de nouvelles factures pour assurer la maintenance de leur ordinateur
ou leur système d’information.
Par manque de données nationales, ces tendances s’appuient sur les constats effectués au niveau mondial.
Cependant elles suggèrent que les organisations doivent être plus vigilantes sur sa politique cybersécurité
tout en ne perdant pas de vue les technologies émergentes qui leur apporteront certainement des
avantages compétitifs dans le cadre de leur transformation digitale.
TENDANCE
2021
59
SEPT RECOMMANDATIONS
POUR ATTEINDRE LE TOP 30
Au la vue de l’analyse des réalisations de l’autorité en charge
de la Cybersécurité et des résultats du dernier « Global
Cybersecurity Index », il parait évident que l’amélioration de la
position du Maroc au niveau régional et international passera
par le renforcement des points ci-dessous :
1. Protection en ligne des enfants

Pour répondre à cette problématique, il serait judicieux de
renforcer les textes législatifs et de charger un organisme
national pour assurer la protection en ligne des enfants. Il
faudrait également encourager les activités des institutions
gouvernementales ou non gouvernementales pour fournir
des connaissances et un soutien aux parties prenantes sur la
façon de protéger les enfants des inconvénients de l’Internet.
Les autorités en charge de ce volet pourraient s’inspirer du
programme « Child Online Protection » de l’UIT.
2. Protection des PME et TPE

La loi 05-20 et son décret d’application accordent une attention
particulière aux Infrastructures d’importance vitale, ainsi qu’à
un ensemble d’autres « Entités » spécifiques. L’allusion aux
« Secteurs d’importance vitale » n’est pas suffisante pour
protéger les PME et TPE contre les cyberattaques qui se sont
accrues en cette période de développement du e-commerce et
du recours massif au télétravail, du fait de la crise sanitaire. Les
grandes entreprises ont pris des mesures afin de se protéger,
cela a eu pour effet de détourner la cybercriminalité vers les
plus petites entreprises, leur protection est d’autant plus
importante que les évolutions technologiques renforceront ce
phénomène.
3. Structures organisationnelles
L’amélioration de l’évaluation des mesures organisationnelles,
selon l’UIT, dépendra du fonctionnement des instances de
gouvernance et de la mise en œuvre de la stratégie nationale
relative à la Cybersécurité. Il est souhaitable de renforcer ce
volet par la mise en place de CIRT/CSIRT/CERT sectoriels qui
gèrent les incidents de cybersécurité qui affectent un secteur
spécifique. Les CERT sectoriels sont généralement établis pour
des secteurs spécifiques tels que le secteur bancaire, le milieu
universitaire, la santé ….
4. Campagnes publiques de sensibilisation à la cybersécurité

La sensibilisation du public comprend des efforts pour
promouvoir des campagnes visant à atteindre le plus grand
nombre de citoyens possible pour faire passer le message sur
le cyber-comportement en ligne. Pour mener ces campagnes,
60
l’Autorité en charge de la Cybersécurité devrait recourir à des ONG, des institutions, des établissements
scolaires, des organisations de parents et d’enseignants pour encourager et promouvoir la sensibilisation
aux cyber-risques.
5. Formation et sensibilisation en milieu professionnel

Les programmes de formation à la cybersécurité en milieu professionnel visent à sensibiliser les collaborateurs
de différents profils et à promouvoir la certification des personnes et des organisations, et ceci à travers
des évènements dédiés. Ces programmes s’adresseront également aux acteurs juridiques qui ont la charge
de l’application des lois relatives à la Cybersécurité et la protection des données personnelles.
6. Programmes éducatifs et de recherche en cybersécurité

Etant donné la pénurie des compétences en cybersécurité, il serait judicieux de promouvoir des
programmes de formation à l’échelle nationale pour former la jeune génération aux professions liées à la
cybersécurité dans les écoles, universités et autres instituts d’apprentissage. Les évolutions rapides des
nouvelles technologies nécessitent la promotion et la mise en place de programmes de recherches dédiés
à la Cybersécurité.
7. Mesure de la maturité en cybersécurité

Pour toute analyse comparative de la maturité en Cybersécurité entre différentes structures ou de son
évolution dans le temps pour une organisation, il est nécessaire de disposer d’un référentiel spécifique
officiellement reconnu à l’échelle nationale ou sectorielle. Celui-ci pourrait s’inspirer de la norme ISO/IEC
27004 relatif aux « Techniques de sécurité — Management de la sécurité de l‘information — Surveillance,
mesure, analyse et évaluation ».
La généralisation de la collecte d’informations au niveau des organisations de différents secteurs et
de différentes tailles selon un modèle unifié permettra de disposer d’un observatoire national de la
Cybersécurité.
7
RECOMMANDATIONS
POUR ATTEINDRE
LE TOP 30
61
ANNEXES
1 - INITIATIVE CYBER4D
Cyber4D est une initiative de Messieurs Mohamed Chitaouy
et Taieb Debbagh qui intervient dans les domaines de la
Cybersécurité, la Protection des Données Personnelles,
la Data et l’Analytics.
Cette initiative se décline en 4 Domaines :

« Cyber4D – Business Development » consiste à jouer un rôle
de tiers de confiance pour la mise en relation des opérateurs
marocains du secteur avec leurs homologues d’autres pays,tels
que le Canada et la France.
« Cyber4D – Legal Development » consiste à analyser et

rapprocher les différentes Lois relatives à la cybersécurité et la
Protection données personnelles, afin d’en tenir compte pour
la formation des jeunes pour leur offrir de nouveaux horizons
d’emplois.
« Cyber4D - Social Development » se base sur les 5 objectifs
de Développement Durables (ODD) préconisés par les Nations
Unies : Pas de pauvreté, Education de qualité, Egalité entre
les sexes, Travail décent et croissance économique, Inégalités
réduites
Ces objectifs seront mis en œuvre à travers différents partenaires

et Sponsors pour former les jeunes des quartiers défavorisés
aux métiers du Digital (Cybersécurité, Protection des données
et Analytics), et les accompagner dans leur insertion dans le
milieu du travail.
Cette mission sera réalisée d’une part avec les Universités et

les instituts de formation, et d’autre part avec les organisations
qui recherchent des profils en adéquation avec les domaines de
compétences de Cyber4D. Pour chacun de ces domaines des
partenariats nationaux et internationaux sont mis en place pour
promouvoir les activités y afférentes.
« Cyber4D – Research & Development » consiste à rapprocher

les centres de recherche marocains et étrangers spécialisés dans
les domaines de la cybersécurité, la Protection des données
Personnelles et l’Analytics, afin d’initier des projets de recherche
au profit des entreprises partenaires. Et contribuer à la création
de startups par les jeunes marocains.
Et pour certaines activités, TDH-Cyber4D sera le représentant

de sociétés étrangères pour répondre aux besoins du marché
marocain, par exemple le partenariat avec « Terranova Security »,
entreprise leader mondial en matière de sensibilisation aux cyber
risques. Pour chacun des domaines des partenariats nationaux
et internationaux (Canada, France, Allemagne…) seront mis en
place pour promouvoir les activités y afférentes.
62
2. FICHE « CYBERWELLNESS PROFILE MOROCCO – 2015 » - UIT
CYBERWELLNESS
PROFILE MOROCCO
2015
INTERNAUTES
BACKGROUND POPULATION TOTALE : POURCENTAGE DE POPULATION :
32 599 000 56,00

%
source: United Nations Statistics Division, (data source: ITU Statistics, 2013) December 2012)
1. CYBERSECURITE
1.1 - MESURES JURIDIQUES

Législation pénale :
Une législation spécifique sur la cybercriminalité a été promulguée par l’intermédiaire de l’instrument
suivant :
- Code pénal (Loi 07-03)

Réglementation et conformité : Des lois et règlements spécifiques relatifs à la cybersécurité ont été
adoptés au moyen des instruments suivants :
- Protection des données personnelles (Loi 09-08).

- Protection des consommateurs en ligne (Loi 31-08).
- Loi sur le transfert électronique d’informations juridiques (Loi 53-05).
1.2 - MESURES TECHNIQUES

CIRT : Le Maroc a créé un CIRT national officiel (maCERT)
Normes : Le Maroc dispose d’un cadre national (et sectoriel) de cybersécurité officiellement reconnu
pour la mise en œuvre de normes de cybersécurité reconnues internationalement par le biais de
la Stratégie nationale pour la société de l‘information et l‘économie numérique et de la stratégie
nationale.
Certification : Le Maroc dispose d’un cadre national (et sectoriel) de cybersécurité officiellement
approuvée pour la certification et l’accréditation des agences nationales et des professionnels
du secteur public. Le cadre s’appelle le Projet de master professionnel pour la formation et la
certification des professionnels du secteur public.
1.3- MESURES ORGANISATIONNELLES
Politique : Le Maroc a une stratégie nationale de cybersécurité officiellement reconnue à travers

la Stratégie nationale de cybersécurité et de stratégie nationale pour la société de l‘information et
l’économie numérique ( Maroc Numeric 2013).
63
Feuille de route pour la gouvernance : La stratégie nationale de cybersécurité fournit une feuille de
route nationale pour la cybersécurité au Maroc.
Agence responsable : La Direction générale des systèmes de sécurité de l‘information sous

l‘administration de la Défense nationale est l’organisme officiellement reconnu chargé de mettre en
œuvre une stratégie nationale de cybersécurité, une politique et une feuille de route.
Benchmark National : Le Maroc a officiellement reconnu des exercices d‘analyse comparative

nationaux ou sectoriels ou référentiels utilisés pour mesurer le développement de la cybersécurité.
Il s‘agit notamment d‘un projet d‘identification et de classification des systèmes d‘information
nationaux et d‘un autre projet de mesure du niveau de maturité de ces systèmes.
1.4 - RENFORCEMENT DES CAPACITES
Développement de la normalisation : Le Maroc n‘a pas de programmes/projets de recherche

et développement (R&D) officiellement reconnus nationaux ou sectoriels pour les normes de
cybersécurité, les meilleures pratiques et les lignes directrices à appliquer dans le secteur privé ou
public.
Développement des compétences : Les actions 50 à 53 de la stratégie nationale « Maroc Numeric

2013 » sont liées à des formations en cybersécurité et à des programmes de sensibilisation.
Ainsi, dans le cadre de la stratégie nationale de cybersécurité, la plupart des écoles et universités
scientifiques et techniques du Maroc intègrent dans leur programme d‘études, des cours de
cybersécurité pour répondre à la demande croissante de compétences en sécurité de l‘information
des systèmes au niveau national.
Certification professionnelle : Le Maroc compte 69 professionnels du secteur public certifiés dans

le cadre de programmes de certification internationalement reconnus en cybersécurité.
Certification des Agences : Le Maroc compte 7 agences gouvernementales et publiques certifiées

selon des normes internationalement reconnues en matière de cybersécurité.
1.5 - COOPERATION
Coopération Intra-Etat : Pour faciliter le partage des actifs de cybersécurité au-delà des frontières
ou avec d‘autres États-nations, le Maroc a officiellement reconnu des partenariats avec les pays et
organisations suivantes : France, Corée du Sud, IUT, FIRST, Cybersecurity Malaysia.
Coopération Intra-Agence : Le Maroc n‘a pas de programmes nationaux ou sectoriels officiellement

reconnus pour le partage des actifs de cybersécurité au sein du secteur public.
Partenariat du secteur public : Le Maroc n‘a pas de programmes nationaux ou sectoriels

officiellement reconnus pour le partage des actifs de cybersécurité au sein des secteurs public et
privé.
Coopération internationale : Le Maroc est membre de l‘initiative ITU-IMPACT et a accès à des

services de cybersécurité pertinents. Le Maroc a participé au Cyber Drill UIT-IMPACT à Mascate,
Oman, en octobre 2013. Le Maroc a participé aux Équipes d‘apprentissage appliqué pour les
interventions d›urgence (ALERT) à Amman, en Jordanie, en juillet 2013 (15-17 octobre 2013).
Le Maroc a également participé à l‘ALERT à Mascate, Oman, en octobre 2013 (22-24 octobre 2013).
maCERT est un membre du FIRST
64
2.PROTECTION EN LIGNE DE L’ENFANT

Législation Nationale : Une législation spécifique sur la protection de l‘enfance en ligne a été
promulguée au moyen des instruments suivants : Le Code pénal (article 483 497 et 503).
Convention Et Protocole Des Nations Unies : Le Maroc a adhéré, sans déclarations ni réserves
aux articles 16, 17(e) et 34(c), à la Convention relative aux droits de l‘enfant. Le Maroc a adhéré, sans
déclarations ni réserves aux articles 2 et 3, au Protocole facultatif de la Convention relative aux droits
de l‘enfant sur la vente d‘enfants, la prostitution des enfants et la pornographie juvénile.
Soutien Institutionnel : Le Maroc n‘a pas d‘agence officiellement reconnue qui offre un soutien
institutionnel sur la protection de l‘enfance en ligne.
Mécanisme De Déclaration : Le Maroc n‘a pas d‘agence officiellement reconnue qui offre un moyen
de signaler les incidents liés à la protection de l‘enfance en ligne.
3. GUIDE DE STRATÉGIE NATIONALE DE CYBERSÉCURITÉ - UIT

La cybersécurité est un défi complexe qui englobe de multiples aspects de gouvernance, de politique,
opérationnels, techniques et juridiques. Ce guide de stratégie nationale de cybersécurité tente
d’aborder, d’organiser et de hiérarchiser nombre de ces domaines sur la base de modèles, de cadres et
de référentiels existants et reconnus. Cet ouvrage est une publication conjointe de l’Union internationale
des télécommunications (UIT), de la Banque mondiale, du Secrétariat du Commonwealth (ComSec), de
l’Organisation des télécommunications du Commonwealth (CTO) et du Centre d’excellence de l’OTAN
pour la cyberdéfense coopérative (NATO CCD COE).
Ce guide met l’accent sur la protection des aspects civils du cyberespace et souligne les principes généraux
et les bonnes pratiques à prendre en compte lors de l’élaboration et de la mise en œuvre d’une stratégie
nationale de cybersécurité. À cette fin, le Guide établit une distinction claire entre le « processus » qui
sera adopté par les pays pendant le cycle de vie d’une stratégie nationale de cybersécurité (lancement,
inventaire et analyse, production, mise en œuvre, revues) et le « contenu ». Le Guide ne couvre pas des
aspects relatifs au développement de cyber-capacités défensives ou offensives par les forces armées,
les forces de défense ou les services de renseignement d’un pays, alors même que plusieurs pays ont
développé de telles capacités. Afin de fournir une orientation et une bonne pratique sur ce qui doit être
inclus (le « quoi ») dans une stratégie nationale de cybersécurité, ainsi que sur le « comment » le construire,
le mettre en œuvre et le réviser, le présent guide traite ces deux éléments.
Ce Guide fournit également une vue d’ensemble des éléments essentiels de ce dont un pays a besoin
pour se préparer en matière de cybersécurité, en soulignant les aspects critiques que les gouvernements
devraient prendre en compte lors de l’élaboration de leurs stratégies et de leurs plans de mise en œuvre
nationaux.
Le présent document a pour objectif de guider les dirigeants nationaux et les décideurs dans la réflexion
et l’élaboration d’une stratégie nationale de cybersécurité, ainsi que pour la protection du pays contre les
cyberattaques.
Ce guide vise à fournir un cadre utile, souple et convivial pour définir le contexte de la vision socio-
économique et de la situation de cybersécurité actuelle d’un pays et aider les décideurs politiques à
élaborer une stratégie prenant en compte la situation spécifique du pays, valeurs culturelles et sociales et
qui encourage la recherche d’une société sûre, résiliente tout en étant connectée.
https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-CYB_GUIDE.01-2018-PDF-E.pdf
65
15 ans de Cybersécurité au Maroc

Le Guide est une ressource unique en son genre, car il fournit un cadre approuvé par des

organisations possédant une expérience démontrée et diversifiée dans ce domaine et s’appuie
sur leurs travaux antérieurs dans ce domaine. En tant que tel, il offre l’aperçu le plus complet à ce
jour de ce qui constitue des stratégies nationales réussies en matière de cybersécurité.
Figure 8 : Cycle implémentation d’une Stratégie Nationale - UIT

ure 8 : Cycle implémentation d’une Stratégie Nationale - UIT
66
Copyright© Taieb DEBBAGH 2021
68

15 Ans de Cybersécurité Au Maroc

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

15 Ans de Cybersécurité Au Maroc

Transféré par

Droits d'auteur :

Formats disponibles

15 ANS DE CYBERSÉCURITÉ AU MAROC

Avec une quarantaine d’années d’expérience dans le cabinet « AT Kearney ».

TABLE DES MATIÈRES

9. 2015 : GLOBAL CYBERSECURITY INDEX V1 COMPLEMENT 53-05 33

TENDANCES DE LA CYBERSÉCURITÉ EN 2021 58

ANSSI Agence Nationale de la Sécurité des Systèmes d’Information

2007 : E-MAROC 2010, GLOBAL CYBERSECURITY AGENDA & LOI 53-05

LES LOIS ANTÉRIEURES CONCERNANT LE SECTEUR

Loi 24-96 : Poste et Télécommunications (Nov. 2004)

ORGANISATIONNELLES : Gouvernance adaptée, Règles communes de bonnes pratiques,

PÉDAGOGIQUES : sensibilisation et formation.

- Encourager la création d’un pôle d’enseignement et de recherche et développement.

GLOBAL CYBERSECURITY AGENDA – LE MAROC PRÉSIDE LA COMMISSION 3

Le Programme Mondial de la Cybersécurité (Global Cybersecurity Agenda - GCA)

Le Groupe d‘Experts de Haut Niveau High Level Expert Group - HLEG

1. MESURES JURIDIQUES : Stein Schjolberg, juge au tribunal de Moss, de la Norvège.

FIGURE 1 : UIT-Global Cybersecurity Agenda

LOI 53-05 : LES ÉCHANGES ÉLECTRONIQUES DE DONNÉES JURIDIQUES (NOV. 2007)

2008 : POLITIQUE NATIONALE

POLITIQUE NATIONALE CONFIANCE NUMÉRIQUE ET SÉCURITÉ SI

La sécurité des réseaux et des systèmes d’information et des échanges électroniques.

Assurer la protection des infrastructures nationales.

GCA COM 3 : RAPPORT SUR LES STRUCTURES ORGANISATIONNELLES POUR

Ce rapport était structuré en trois parties :

Partie 1 : Structures organisationnelles et politiques en matière de cybersécurité.

2009 : MAROC NUMERIC 2013, CONFIANCE NUMÉRIQUE

PLAN « MAROC NUMERIC 2013 »

Figure 3 : Maroc Numeric 2013

PROGRAMME CONFIANCE NUMÉRIQUE

L’ambition de cette mesure d’accompagnement est d’instaurer les conditions de la Confiance

- Protection des données personnelles

Figure 4 : Programme confiance numérique

LOI 09-08 : PROTECTION DES DONNÉES PERSONNELLES ET CNDP

Cette loi répond aux principes suivants :

- « Toute personne a droit à la protection de sa vie privée », article 24 de la Constitution du Maroc.

2010 : APPROBATION DU NCMS PAR L’UIT

PROPOSITION DU MAROC À L’UIT : NATIONAL CYBERSECURITY MANAGEMENT

Figure 5 : NCSM – Cadre de Référence

Figure 6: National Cybersecurity Management System

SENSIBILISATION ET DÉVELOPPEMENT DES COMPÉTENCES

Le Département de la Poste, des Télécommunications et des Technologies de l’Information (DEPTTI) et

- La sensibilisation et le développement des ressources humaines et le renforcement des compétences

2011 : DGSSI, MACERT & LABEL E-THIQ@

L’année 2011 représente un tournant majeur dans le développement de la Cybersécurité au Maroc,

CONSEIL STRATÉGIQUE DE LA SÉCURITÉ SI

DIRECTION GÉNÉRALE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION

- Coordonner les travaux interministériels relatifs à l’élaboration et la mise en œuvre de la stratégie de

MACERT – MOROCCAN COMPUTER EMERGENCY RESPONSE TEAM

LOI 31-08 – PROTECTION DU CONSOMMATEUR INCLUANT LE E-COMMERCE

LABEL E-THIQ@ DE LA CGEM.

- Responsabilité, transparence et éthique.

2012 : STRATÉGIE NATIONALE SSI & CODE DU NUMÉRIQUE

STRATÉGIE NATIONALE EN SÉCURITÉ DES SYSTÈMES D’INFORMATION

AXE 2 : Protéger et défendre les SI des administrations, organismes publics et infrastructures

AXE 3 : Renforcer les fondamentaux de la Sécurité des SI

AXE 4 : Promouvoir la coopération nationale et internationale

2013 : DIRECTIVE NATIONALE SSI & CONVENTION DE BUDAPEST

DIRECTIVE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION

APPROBATION DE LA CONVENTION DE BUDAPEST

ADHÉSION DU MACERT AU FIRST

2014 : DONNÉES PERSONNELLES

RATIFICATION DE LA CONVENTION 108 – CONSEIL DE L’EUROPE

DONNÉES PERSONNELLES ET CYBERCRIMINALITÉ

RENFORCEMENT DES COMPÉTENCES