Cybersécurité : un cloud national est un “must have” pour la souveraineté numérique du Maroc (Amine Hilmi)

Dans une interview accordée à Médias24, Amine Hilmi partage son avis sur la nouvelle loi 05-20, relative au développement de la confiance numérique, de la digitalisation et plus généralement la continuité des activités économiques et sociétales de notre pays .

Médias24 : Globalement, quel est l’état du secteur de la cybersécurité au Maroc ?

Amine Hilmi : Un bon chemin a été parcouru par les organismes marocains depuis une dizaine d’années pour prendre à bras le corps la problématique de la cybersécurité. Tout un écosystème a été mis en place, avec un arsenal juridique qui a permis d’accélérer le développement de la cybersécurité, allant de pair avec les chantiers de la digitalisation.

- Comment se positionne la cybersécurité marocaine aux niveaux continental et international ?

- Par rapport au continent africain, le Maroc est précurseur en matière de cybersécurité. Cela ne veut pas dire cependant que l’on figure parmi les meilleurs à l’échelle internationale. On est sur le bon chemin, la dynamique positive est là mais il y a toujours des défis à relever. La cybersécurité exige une expertise très pointue. Or il n’y a que très peu d’experts au Maroc et les lauréats des filières académiques en cybersécurité ne suffisent pas à satisfaire les besoins du marché.

- Comment la loi 05-20 accélère-t-elle le développement de la cybersécurité au Maroc ? 

-La loi exige des organismes éligibles à se conformer et à adopter des dispositifs de cybersécurité. L’autorité nationale a fait un travail louable en matière de sensibilisation et de formation en la matière. La loi prévoit par ailleurs des sanctions en cas de manquement au respect de certaines obligations..

De plus, elle a élargi le scope ; elle ne se résume pas seulement aux organismes à importance vitale  - une défaillance aurait effectivement un impact important sur la vie socio-économique du pays (opérateurs télécom, régies d’eau et d’électricité, banques et assurances...). Elle s’étend aux administrations de l’Etat, aux collectivités territoriales, aux EEP et à toute autre personne morale de droit public; autant d’organismes qui doivent aujourd’hui donner l’exemple et la priorité à la cybersécurité dans leur transformation digitale.

- Quelles sont les limites de cette loi ?

-La loi sera amenée à être renforcée car la cybersécurité contient beaucoup de sous-thématiques. Il est nécessaire de faire un zoom sur chacune d’entre elles (comme la surveillance des incidents de cybersécurité 24h/24 7j/7, l’utilisation des technologies de cybersécurité, la cyberdéfense, la veille, ...), définir les exigences liées à ces sous-thématiques afin de faire vivre cette loi dans le temps, et couvrir tout le spectre de la cybersécurité.

D’autre part, quand on exige d’un organisme à respecter les bonnes pratiques de cybersécurité, il est nécessaire de l’accompagner. Il faut donc suffisamment de prestaires qualifiés et d’experts pour auditer cette transformation et mettre en place des dispositifs pour accompagner les organismes.

- L’usage du cloud est-il une option pertinente pour stocker les informations ? Risquons-nous de perdre nos données ?

- Le cloud peut être confiant si on l’utilise selon les bonnes pratiques de cybersécurité. La problématique actuelle du cloud, c’est la question de la souveraineté. Nous achetons des services Cloud sans en forcément connaitre son positionnement géographique. Si les données sont stockées dans un pays ami, c’est tant mieux. Dans le cas contraire, elles sont alors à la disposition d’un sujet de droit du lieu où elles se trouvent, et non de la juridiction marocaine. C’est évidemment un risque.

La question territoriale du cloud est donc un facteur clé, puisque des données sensibles peuvent être exposées à des utilisations contraires à notre juridiction marocaine. Dans ce sens, l’État devrait inciter les GAFAM (les quatre entreprises les plus importantes du numérique : Google, Apple, Facebook,Amazon, et Microsoft ndlr) à déployer des offres de services hébergées au Maroc. Avoir un cloud au niveau national, c’est un avantage indéniable, un “must have” pour notre souveraineté numérique.

Concernant la perte des données, ce risque reste inhérent à l’informatique. La perte n’est pas une catastrophe en soi; le plus dangereux, c’est de ne pas prévoir un dispositif de secours ou de stocker des données sensibles ou personnelles qui sont à la disposition d’organismes qui les utilisent et ce, avec notre consentement.

- Quel est le moyen le plus sécurisé de stocker des informations ? Quelles sont vos recommandations ?

- - Le meilleur moyen, c’est d’avoir des clouds nationaux, sujets à la loi marocaine, que l’on peut contrôler. De façon générale, pour développer sa souveraineté numérique, le Maroc doit produire de la technologie en termes de cybersécurité car aujourd’hui, il ne fait que consommer. Mais pour cela, il faut avoir des experts en cybersécurité qui aient la fibre entrepreneuriale. Il est même plus pertinent détecter les porteurs d’idées très tôt dès le cursus académique. En somme, un cloud souverain doit en effet être accompagné de services souverains.