img_pub
Rubriques
Publicité
Publicité
Dossier Cet article est issu du dossier «CNSS Leaks» Voir tout le sommaire
DROIT

Cybersécurité : les risques et les moyens de protection après une fuite de données (avocate)

La récente cyberattaque contre la CNSS met en lumière les risques réels qui guettent les assurés, entre usurpation d’identité, fraudes bancaires, blanchiment de données, voire harcèlement et extorsion. Me Bouchra Bouiri, avocate aux barreaux de Casablanca et de Paris, passe en revue les dangers concrets d’une telle fuite de données et livre ses recommandations pour s’en protéger efficacement.

Cybersécurité : les risques et les moyens de protection après une fuite de données (avocate)
Photo de FlyD sur Unsplash
Par
Le 15 avril 2025 à 18h00 | Modifié 15 avril 2025 à 18h27

L’attaque informatique qui a récemment ciblé la Caisse nationale de sécurité sociale (CNSS) a mis en évidence la vulnérabilité des systèmes publics face à la cybercriminalité. Elle soulève également des questions cruciales sur la protection des données personnelles et les conséquences directes sur les citoyens.

Au-delà de l’atteinte à la sécurité des systèmes, la fuite de données sensibles expose les individus à des risques de fraude, d’usurpation d’identité et de manipulation financière etc. Des informations telles que les numéros de sécurité sociale, les adresses et les coordonnées bancaires peuvent être utilisées à des fins malveillantes, créant ainsi un terrain propice à des arnaques.

Les impacts ne se limitent pas uniquement à des pertes financières immédiates. L’utilisation non autorisée de ces données peut également engendrer des atteintes à la vie privée et, dans les cas les plus graves, compromettre l’intégrité des personnes concernées. Ces risques nécessitent une vigilance accrue de la part des autorités compétentes, mais aussi une prise de conscience collective sur l’importance de la cybersécurité dans la gestion des informations personnelles sensibles.

Pour comprendre les risques concrets qui pèsent sur les personnes dont les données à caractère personnel ont été compromises, Me Bouchra Bouiri, avocate aux barreaux de Casablanca et de Paris, nous livre une analyse approfondie et éclairée.

Cybersécurité : les risques et les moyens de protection après une fuite de données (avocate)
Me Bouchra Bouiri, avocate aux barreaux de Casablanca et de Paris.

La prise de conscience des risques potentiels

"Le piratage du système d’information de la Caisse nationale de sécurité sociale (CNSS) a mis en lumière, de manière brutale, la vulnérabilité structurelle des systèmes numériques publics face à la cybercriminalité", constate-t-elle. Elle souligne que "cette atteinte à la sécurité des systèmes d’information soulève des interrogations légitimes quant à l’effectivité des garanties juridiques encadrant la protection des données à caractère personnel des assurés sociaux, ainsi qu’à la rigueur des dispositifs mis en œuvre pour assurer leur traitement licite, leur sécurisation et le respect des droits fondamentaux des personnes concernées".

Certes, il existe des lois, mais sont-elles suffisantes ?  Pour Me Bouchra Bouiri, le fait "qu’il existe des lois protégeant les données personnelles est insuffisant, une prise de conscience des personnes sur la valeur de leurs données et les risques auxquels sont exposées suite à une cyberattaque est primordiale".

Elle rappelle la définition même de la donnée à caractère personnel. "Fondamentalement, qu’est-ce qu’une donnée personnelle ? un nom, un prénom, un numéro de carte nationale, un RIB etc. Oui, mais pas seulement", souligne-t-elle.

"Une donnée à caractère personnel est considérée par la loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel comme ‘toute information, de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne physique identifiée ou identifiable (…)’. Lorsqu’une compromission de données à caractère personnel intervient, les titulaires de ces informations se trouvent exposés à une pluralité de risques dont la gravité ne saurait être sous-estimée", insiste-t-elle.

Et d’expliquer : "Ces atteintes peuvent porter préjudice tant à leur intégrité morale, notamment à travers la violation de leur vie privée, qu’à leur situation juridique ou patrimoniale, en facilitant des actes tels que l’usurpation d’identité, la fraude ou l’exploitation illicite de leurs informations personnelles à des fins malveillantes".

Parmi les risques les plus graves figure l’atteinte à la vie privée. "Le droit marocain prévoit à cet égard toutes une série de dispositions juridiques visant à protéger la vie privée des personnes".

En effet, aux termes de l’article 24 de la constitution marocaine ‘toute personne a droit à la protection de sa vie privée’. La protection de la vie privée a ensuite été protégée et consacrée par les dispositions de la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, dont l’article premier dispose dans son alinéa 1 que "l’informatique est au service du citoyen et évolue dans le cadre de la coopération internationale. Elle ne doit pas porter atteinte à l’identité, aux droits et aux libertés collectives ou individuelles de l’Homme. Elle ne doit pas constituer un moyen de divulguer des secrets de la vie privée des citoyens".

"Dans ce cadre, la divulgation illicite ou non consentie de données personnelles, telles que l’identité, les coordonnées bancaires, les données de santé ou la situation sociale, constitue sans aucun doute une ingérence directe dans la sphère privée de l’individu, générant un préjudice souvent irréversible", affirme Me Bouiri.

Mais ce n’est pas tout. "À ce premier risque s’ajoute un risque majeur d’exploitation à des fins commerciales ou frauduleuses", avertit-elle. "Les données déorbées peuvent être détournées pour alimenter des bases de données illégales, faire l’objet de reventes à des tiers non autorisés, ou encore être utilisées à des fins de profilage, de ciblage publicitaire abusif, voire de discrimination".

Elle alerte aussi sur la fraude et l’usurpation d’identité. "Ce détournement peut aussi ouvrir la voie à des actes de fraude et d’usurpation d’identité, particulièrement préoccupants lorsque les informations dérobées permettent à des tiers de contracter, d’accéder à des comptes bancaires ou de se prévaloir faussement de la qualité de la personne concernée".

Les données volées deviennent des biens précieux pour les cybercriminels

L’impact peut aussi être réputationnel. "En outre, la fuite de données peut engendrer des atteintes à la réputation. La diffusion d’informations sensibles ou intimes dans l’espace public ou sur les réseaux sociaux peut porter un coup sévère à l’image sociale et professionnelle de la victime, altérant sa crédibilité, ses relations ou même ses perspectives d’emploi". Et d’ajouter : "Ces atteintes sont d’autant plus graves qu’elles sont amplifiées par la viralité propre au numérique, rendant toute tentative de réparation souvent illusoire".

Parfois, les conséquences peuvent aller jusqu’au harcèlement, comme le relève Me Bouiri qui rappelle que "les victimes peuvent être exposées à des formes insidieuses de harcèlement, de chantage ou d’extorsion, notamment lorsque les données dévoilées concernent des aspects sensibles de la vie privée".

Selon elle, ce constat mène à une conclusion sans appel : "Il apparaît que la fuite de données à caractère personnel ne saurait être envisagée comme un simple incident technique : elle constitue une atteinte grave aux droits fondamentaux, dont les conséquences juridiques, morales et économiques exigent une vigilance renforcée tant de la part des responsables de traitement que des autorités compétentes".

Des risques de blanchiment de données

Quant aux usages concrets de ces données volées, Me Bouiri explique qu’"après une cyberattaque, les données volées deviennent des biens précieux pour les cybercriminels qui cherchent à les exploiter de manière lucrative à travers un système criminel organisé. Trois grands axes structurent cette exploitation. Il s’agit du blanchiment des données ; l’utilisation pour d’autres attaques et la fraude financière directe".

Elle détaille d’abord le phénomène du "blanchiment des données". Selon elle, "cette expression n’est pas encore formellement définie par le législateur ou les dictionnaires juridiques. Par analogie avec le blanchiment des capitaux, elle consiste à dissimuler l’origine criminelle des informations compromises pour les rendre exploitables sans éveiller de soupçons".

Et d’ajouter : "Ces données, une fois blanchies, sont revendues sur des marchés noirs ou utilisées dans des transactions légitimes afin de minimiser les risques de détection par les autorités compétentes".

"Ensuite, les données personnelles volées, telles que les coordonnées bancaires, les numéros d’identification ou les informations relatives à la sécurité sociale, constituent des instruments idéaux pour mener d’autres attaques", poursuit-elle.

Elle cite notamment le phishing. "En utilisant ces informations, les cybercriminels peuvent se livrer à des escroqueries par phishing, où ils se font passer pour des entités légitimes, banques, administrations ou entreprises, afin de soutirer de l’argent ou d’obtenir encore plus de données sensibles".

L’usurpation d’identité est également une méthode répandue, puisque, comme l’explique Me Bouiri, "les criminels exploitent les informations volées pour se faire passer pour leurs victimes et ainsi pénétrer des systèmes ou ouvrir des comptes au nom de celles-ci".

Enfin, Me Bouiri évoque la fraude financière directee. "En utilisant des informations telles que les coordonnées bancaires, les numéros de carte de crédit ou les identifiants en ligne, les criminels peuvent effectuer des transactions financières frauduleuses. Toutes ces opérations vont de simples achats en ligne à des transferts d’argent non autorisés ou l’ouverture de comptes bancaires fictifs au nom de la victime".

Ces pratiques peuvent avoir de lourdes conséquences, puisqu’elles peuvent conduire à des pertes financières considérables pour les victimes, qui se retrouvent souvent à devoir contester des transactions et à engager des procédures judiciaires longues et coûteuses. Dans certains cas, des prêts à la consommation frauduleux peuvent également être obtenus en utilisant les informations volées pour créer de faux profils et solliciter des crédits.

En résumé, "l’exploitation des données volées après une cyberattaque est un processus complexe et multiforme, visant à maximiser le rendement financier des criminels tout en étendant l’impact de l’attaque".

Une cyberattaque requiert une réaction rapide, pertinente et efficace.

Face à ces risques, que peuvent faire les victimes pour se protéger ? Me Bouiri le rappelle clairement. Selon elle, "il n’existe pas de solutions magiques pour se protéger de toute évidence. Toutefois une cyberattaque requiert une réaction rapide, pertinente et efficace".

Elle recommande la mise en place d’une "réelle gestion de crise", ajoutant qu’il est "nécessaire que toute personne victime d’une fuite de données adopte une posture de vigilance renforcée et fasse valoir ses droits auprès du responsable de traitement, de la CNDP, ou des autorités judiciaires en cas d’exploitation frauduleuse avérée".

Des mesures concrètes à adopter

Selon l’avocate, il existe des mesures concrètes à mettre en place. "La victime doit procéder sans délai à un chagnemnt des mots de passe associés aux comptes en ligne, et ce, pour tous les services ayant pu être compromis par la fuite des données, à savoir les comptes bancaires, messageries électroniques, plateformes administratives, etc.". Elle insiste aussi sur le fait qu’il est essentiel que ces nouveaux mots de passe soient "complexes, uniques et qu’ils soient systématiquement protégés par un système d’authentification à deux facteurs (2FA), afin de renforcer la sécurité des accès".

Ensuite, "la surveillance régulière des comptes bancaires et des transactions financières" est primordiale. "Toute activité inhabituelle doit être immédiatement signalée à l’établissement bancaire, qui pourra alors prendre des mesures telles que le blocage temporaire des moyens de paiement ou la refonte des données sensibles, numéros de cartes bancaires, RIB, etc.".

D’un point de vue légal, Me Bouiri recommande d’exercer son droit d’accès aux données auprès de l’organisme responsable du traitement des données personnelles, en vertu de l’article 7 de la loi 09-08. Sachant que "si les obligations de sécurité n’ont pas été respectées, la personne concernée peut déposer une plainte auprès de la CNDP, conformément à l’article 28 de la loi n° 09-08".

LIRE AUSSI : 

Arnaque en ligne. Que faire en tant que victime ? Que risquent les auteurs ?

À découvrir

Si vous voulez que l'information se rapproche de vous Suivez la chaîne Médias24 sur WhatsApp
© Médias24. Toute reproduction interdite, sous quelque forme que ce soit, sauf autorisation écrite de la Société des Nouveaux Médias. Ce contenu est protégé par la loi et notamment loi 88-13 relative à la presse et l’édition ainsi que les lois 66.19 et 2-00 relatives aux droits d’auteur et droits voisins.
Par
Le 15 avril 2025 à 18h00
SOMMAIRE DU DOSSIER
Chargement...
Le forum à l'origine des fuites de la CNSS hors ligne : panne technique ou honeypot créé par le FBI ?


Chargement...
Cybersécurité : les risques et les moyens de protection après une fuite de données (avocate)


Chargement...
“Il sera très difficile d'identifier les auteurs de l’attaque contre la CNSS” (Xavier Raufer)


Chargement...
Cybersécurité. La Conservation foncière suspend ses services électroniques pour quelques jours


Chargement...
La CNSS annonce un renforcement de ses mesures de sécurité


Chargement...
La cyberattaque contre la CNSS décryptée en 10 points clés


Chargement...
Cyberattaque contre la CNSS. Responsabilité, recours des victimes... L'éclairage de Me Khadija Zoulali


Chargement...
Victime de hackers, la CNSS avait pourtant passé cinq marchés de cybersécurité depuis un an


Chargement...
Cyberattaque contre la CNSS. “Télécharger, stocker ou exploiter les données fuitées sans consentement est illégal” (avocat)


Chargement...
Le gouvernement réagit aux cyberattaques ayant ciblé le ministère de l'Emploi et la CNSS


Chargement...
Attaque cybernétique contre la CNSS : la CNDP met en garde contre l’utilisation des données personnelles obtenues illégalement


Chargement...
Attaque cybernétique contre la CNSS : les premières vérifications ont permis de relever certains documents faux, inexacts ou tronqués (communiqué)


Chargement...
Cyberattaque contre la CNSS : la réaction à chaud de Seghrouchni (CNDP)


Chargement...
Cyberattaque contre la CNSS : l'éclairage préliminaire de Badr Bellaj, expert en sécurité des systèmes distribués


Chargement...
Ce que l’on sait de la cyberattaque ayant ciblé le ministère de l'Emploi et la CNSS


à lire aussi

Bourse de Casablanca : les minières sauvent un semestre marqué par la correction du marché (bilan)
Actus

Article : Bourse de Casablanca : les minières sauvent un semestre marqué par la correction du marché (bilan)

Après un semestre marqué par une correction du marché, quelles valeurs ont résisté ? Quels secteurs ont tiré leur épingle du jeu ? Et où les investisseurs ont-ils concentré leurs échanges ? Voici le bilan des six premiers mois de 2026 à la Bourse de Casablanca à travers les principales performances de la cote.

Textile : le déficit de main-d’œuvre dans la confection pèse sur les exportations
Textiles

Article : Textile : le déficit de main-d’œuvre dans la confection pèse sur les exportations

Les exportations textiles reculent de 9,1% à fin mai 2026, une baisse que les perturbations logistiques du premier trimestre ne suffisent plus à expliquer. L’aggravation de la baisse en avril et mai montre que le problème dépasse désormais le seul facteur logistique. La cause principale est aujourd’hui le déficit de main-d’œuvre, qui pèse directement sur la production, les délais de livraison et la capacité des entreprises à honorer leurs commandes.

Traitement de l'eau. Le britannique Hydro Industries s'implante au Maroc avec Hydro Services Morocco
BUSINESS

Article : Traitement de l'eau. Le britannique Hydro Industries s'implante au Maroc avec Hydro Services Morocco

Le britannique Hydro Industries Limited s’implante au Maroc avec la création de Hydro Services Morocco, une SAS au capital de 1 MDH dédiée aux métiers du traitement de l’eau, de l’assainissement et du dessalement.

Le Maroc face au choix du Rafale : les clés d'un arbitrage géopolitique contre le tout-américain
Defense

Article : Le Maroc face au choix du Rafale : les clés d'un arbitrage géopolitique contre le tout-américain

Si la volonté d'éviter une dépendance exclusive envers les États-Unis est réelle, l'équation budgétaire et le défi du nombre face à la flotte d'Alger imposent un examen attentif des réalités du terrain.

Maroc-Chine : en attendant le Sahara, la relation bilatérale économique s'accélère
NATION

Article : Maroc-Chine : en attendant le Sahara, la relation bilatérale économique s'accélère

Dix ans après l'établissement d’un partenariat stratégique entre Rabat et Pékin au cours de la visite royale en Chine en 2016, l’ambassadrice chinoise au Maroc a célébré cet événement en déclarant que les relations économiques bilatérales ont connu une progression exceptionnelle. Si les perspectives industrielles et touristiques apparaissent plus que prometteuses, la question d'une éventuelle reconnaissance chinoise de la marocanité du Sahara au Conseil de sécurité de l'ONU demeure toujours entourée de précautions diplomatiques. Explications.

IDE : le flux net progresse de 41,8% à fin mai 2026
Quoi de neuf

Article : IDE : le flux net progresse de 41,8% à fin mai 2026

Les investissements directs étrangers (IDE) au Maroc poursuivent leur progression à fin mai 2026. Porté par une hausse des recettes et un recul des dépenses, leur flux net atteint 23.319 MDH, en hausse de 41,8% par rapport à la même période de 2025. Dans le même temps, les investissements directs marocains à l’étranger (IDME) enregistrent également une nette progression.

Médias24 est un journal économique marocain en ligne qui fournit des informations orientées business, marchés, data et analyses économiques. Retrouvez en direct et en temps réel, en photos et en vidéos, toute l’actualité économique, politique, sociale, et culturelle au Maroc avec Médias24

Notre journal s’engage à vous livrer une information précise, originale et sans parti-pris vis à vis des opérateurs.

Toute l'actualité