img_pub
Rubriques
Publicité
Publicité
Defense

Cybersécurité: de nouvelles règles pour tout prestataire de services numériques

Le projet de loi sur la cybersécurité adopté rapidement et discrètement à la Chambre des représentants. Administrations et opérateurs devront observer de nouvelles règles de sécurité. Un texte à connotation régalienne pour sécuriser l’espace numérique.

Cybersécurité: de nouvelles règles pour tout prestataire de services numériques
Abdelali El Hourri
Le 16 juillet 2020 à 17h54 | Modifié 11 avril 2021 à 2h47

Illico et sans tapage. C'est que le texte est porté par la grande muette. Le projet de loi sur la cybersécurité a été adopté le mardi 14 juillet par la Chambre des représentants (à l'unanimité), seulement quatre jours après son dépôt par le gouvernement. Il avait été préalablement validé lors d’un Conseil des ministres tenu le 6 juillet.

Un texte fondateur, le premier du genre dans le corpus législatif marocain. C’est le résultat d’une stratégie actée en 2011. L’initiateur du projet, le ministère délégué à la Défense, évoque une loi motivée par "l’utilisation croissante des technologies de l’information et des communications par les gouvernements, les sociétés, les institutions et les individus". Son ambition: "garantir l’usage sécurisé de l’espace numérique", gérer "les menaces cybernétiques" et, in fine, renforcer "la confiance numérique".

Le texte verra naitre deux institutions clé:

  • La "commission stratégique de cybersécurité". Elle se chargera, entre autres, de tracer les grandes orientations de l’Etat en la matière. Cette commission comportera elle-même un comité pour la "gestion des crises et événements graves de cybersécurité".
  • "L’Autorité nationale de la cybersécurité". Le terme "autorité" n’est pas anodin. Il sous-tend le rôle opérationnel, voire régalien, qui sera dévolu à cette entité. Car elle aura pour mission d’ "exécuter" lesdites orientations. Ses "agents assermentés" pourront procéder à des enquêtes techniques pour lutter contre toute "attaque électronique" visant les systèmes informatiques et portant atteinte aux "fonctions stratégiques de la société ou de la santé, ou de la sécurité ou au développement économique ou social".

La future loi n’a pas pour vocation d’incriminer les auteurs de "crimes cybernétiques". Ceux-ci tombent, notamment, sous le coup de sanctions déjà prévues par le code pénal. Le texte pose plutôt les règles de prévention et de riposte techniques à la cybercriminalité.

A quoi ressemblent les futures règles de sécurité? Et qui sont les entités concernées?

Dès lors qu’ils fournissent "des services numériques" ou manient des données par cette voie, administrations, collectivités territoriales, établissements et entreprises publiques ainsi que toute autre personne morale de droit public seront astreints à respecter une série de normes de sécurité. Tout comme les "exploitants des réseaux de télécommunication, fournisseurs de services internet, de services de cybersécurité et des prestations numériques".

Des normes de sécurité concerneront également les "infrastructures d’importance stratégique", dont la liste sera fixée par secteur. Cette liste restera confidentielle et sera périodiquement mise à jour, sans dépasser un délai de deux ans.

Ces instances devront "exécuter les mesures techniques et organisationnelles pour gérer les risques cybernétiques", et éviter "les incidents susceptibles d’affecter les systèmes informatiques". L’Autorité nationale de la cybersécurité doit être notifiée de tout incident de ce genre.

Par ailleurs, chaque instance devra désigner son responsable de la sécurité informatique. Il sera l’interlocuteur officiel de l’Autorité.

Avant de fournir des services numériques à autrui, les instances concernées doivent auditer leurs systèmes informatiques. Cet audit doit être périodique et régulier auprès d’auditeurs habilités. Le recours à des auditeurs non habilités sera passible de sanctions pénales visant le responsable de l’instance (amende atteignant 400.000 DH, avec possibilité de sanctions plus sévères).

Elles seront également tenues de classer leurs "actifs" et "systèmes" informatiques selon leurs niveaux de "sensibilité". Leur protection doit être proportionnelle à cette sensibilité. Un guide de classification sera contenu dans un texte réglementaire.

Les données sensibles doivent être "exclusivement" hébergées à l’intérieur du territoire national. Le responsable d’une instance qui contrevient à cette règle risque une amende pouvant atteindre 400.000 DH, sans préjudice de sanctions plus sévères.

Dès qu’elle prend connaissance d’un incident affectant la sécurité ou la continuité de son système informatique, l’instance devra alerter sans délai l’autorité compétente. Elle doit également dresser un plan garantissant la continuité ou la reprise des activités, contenant les alternatives aptes à neutraliser l’effet de leur interruption ainsi que la protection des fonctions "importantes et sensibles" contre les effets de l’incident cybernétique.

Quid des opérateurs de télécommunication, fournisseurs de services internet, etc.? Ces derniers doivent également prendre toutes les dispositions techniques afin de limiter le "risque de cybersécurité", tout en informant leurs clients des "vulnérabilités" affectant leurs systèmes ou des "violations qui peuvent les atteindre".

En cas d’incident de cybersécurité, ils seront tenus de "préserver les données techniques" permettant d’en déterminer l’origine des incidents. Ces données doivent être gardées pour une durée d’une année, modifiable par décret. Contrevenir à cette règle sera, là aussi, passible de sanctions.

Les agents de l’autorité nationale de cybersécruité peuvent recueillir et analyser les données techniques de ces opérateurs, et ce pour garantir la sécurité de leurs systèmes et infrastructures stratégiques. Toute autre forme d’exploitation est proscrite.

Si vous voulez que l'information se rapproche de vous Suivez la chaîne Médias24 sur WhatsApp
© Médias24. Toute reproduction interdite, sous quelque forme que ce soit, sauf autorisation écrite de la Société des Nouveaux Médias. Ce contenu est protégé par la loi et notamment loi 88-13 relative à la presse et l’édition ainsi que les lois 66.19 et 2-00 relatives aux droits d’auteur et droits voisins.
Abdelali El Hourri
Le 16 juillet 2020 à 17h54

à lire aussi

Coupe du monde 2026, une édition qui a changé le football
Football

Article : Coupe du monde 2026, une édition qui a changé le football

Si les éditions 2014 et 2022 restent les plus belles de l’ère moderne, la Coupe du monde 2026 restera à jamais gravée dans les livres d’histoire, aussi bien pour son format et les émotions qu’elle a suscitées, que pour sa dimension technologique et ses quelques polémiques.

La région Casablanca-Settat lance son système d'information intégré à 35 millions de DH
Quoi de neuf

Article : La région Casablanca-Settat lance son système d'information intégré à 35 millions de DH

Ce projet, budgétisé à 35 millions de dirhams et étalé sur neuf mois, vise à moderniser la gestion administrative et à fluidifier la circulation de l'information entre les différentes directions.

Le Maroc récupère neuf fossiles rares vieux de 66 à 72 millions d'années
Quoi de neuf

Article : Le Maroc récupère neuf fossiles rares vieux de 66 à 72 millions d'années

Le Maroc a récupéré neuf fossiles vieux de 66 à 72 millions d'années, qui proviennent de son bassin géologique, grâce à une opération menée en coordination avec les autorités françaises dans le cadre de la coopération bilatérale en matière de protection du patrimoine culturel.

Maroc-Mauritanie : Laftit reçoit son homologue mauritanien pour renforcer la coopération bilatérale
Quoi de neuf

Article : Maroc-Mauritanie : Laftit reçoit son homologue mauritanien pour renforcer la coopération bilatérale

En visite dans le Royaume les 17 et 18 juillet, le ministre mauritanien de l'Intérieur s'est entretenu avec Abdelouafi Laftit sur les moyens de consolider la coopération entre les deux départements, notamment en matière de sécurité, de migration et de coopération décentralisée.

Guerre électronique : comment le Maroc s'intègre dans un programme de 114 millions de dollars du Pentagone
Quoi de neuf

Article : Guerre électronique : comment le Maroc s'intègre dans un programme de 114 millions de dollars du Pentagone

Le programme concerne le AN/APR-39D(V)2, un système de guerre électronique avancé développé par Northrop Grumman Systems Corp qui identifie les menaces radar ennemies, telles que les missiles sol-air ou air-air, afin de permettre aux pilotes de déployer des contre-mesures.

Prévisions météorologiques pour le samedi 18 juillet
Les prévisions quotidiennes

Article : Prévisions météorologiques pour le samedi 18 juillet

Les températures resteront élevées samedi dans plusieurs régions du Royaume, où elles pourront atteindre 44 °C à Aousserd, annonce la Direction générale de la météorologie.

Médias24 est un journal économique marocain en ligne qui fournit des informations orientées business, marchés, data et analyses économiques. Retrouvez en direct et en temps réel, en photos et en vidéos, toute l’actualité économique, politique, sociale, et culturelle au Maroc avec Médias24

Notre journal s’engage à vous livrer une information précise, originale et sans parti-pris vis à vis des opérateurs.

Toute l'actualité