Ce que révèle l’attaque contre la CNSS sur la cybersécurité au Maroc (expert)
La cyberattaque visant la CNSS rappelle avec force que nul n’est à l’abri, ni institutions publiques ni entreprises privées. Mais celles qui négligent leur cybersécurité s’exposent encore davantage. Comment se prémunir face à ces menaces ? Quelles stratégies adopter pour renforcer ses défenses ? L’expert international en cybersécurité, Tibari Jlil, apporte son éclairage.
Face à la montée en puissance des menaces numériques, le Maroc est à un tournant crucial en matière de cybersécurité. Pour Tibari Jlil, stratège en transformation digitale formé à l’École polytechnique en France, la réponse à ces défis ne peut être que globale. Selon lui, elle doit allier gouvernance, sensibilisation, mise à niveau technologique et partenariats public-privé.
Lauréat de l’Institut national des postes et télécommunications (INPT), architecte lead en cybersécurité, fondateur du premier Congrès africain sur la 5G (5GEM, en 2022) et cofondateur de la première start-up marocaine spécialisée dans les réseaux 5G, Tibari Jlil déploie une vision à la fois technique et stratégique.
Dans cet entretien, cet expert alerte sur la vulnérabilité des systèmes obsolètes, le manque de sensibilisation du personnel aux risques cyber, et l’importance de renforcer la gouvernance.
Il insiste sur la nécessité d’établir un centre national de cybersécurité en appui à la DGSSI, d’intégrer l’intelligence artificielle dans la détection des menaces, et de généraliser les tests d’intrusion réguliers. Pour lui, la cybersécurité ne peut plus être un luxe ou une option : elle doit devenir un réflexe, une culture, soutenue par l’État, les entreprises et l’ensemble de l’écosystème numérique.
Médias24 : Selon vous, est-il possible, à ce stade, de déterminer la nature de l’incident de cybersécurité ayant touché la CNSS ? S’agit-il d’une faille technique, humaine ou d’un acte malveillant ?
Tibari Jlil : À ce stade, il est encore trop tôt pour déterminer officiellement si le problème relève d’une faille technique, d’une erreur humaine (souvent liée à un manque de sensibilisation d’un agent de la CNSS), ou s’il s’agit d’un acte malveillant délibéré, tel qu’on en rencontre dans le domaine de la cybersécurité. Il est essentiel d’attendre les conclusions des investigations en cours pour pouvoir qualifier la nature exacte de l’incident. Mais, à mon sens, l’incident en question relève à la fois d’une faille humaine et technique.
Selon mon expertise, une attaque de ce type peut résulter d’une combinaison d’erreur humaine et de déficit de sensibilisation. Les employés doivent absolument être sensibilisés, surtout que des outils existent aujourd’hui pour les former efficacement, notamment via des modules vidéo de 5 à 10 minutes permettant d’alerter sur les comportements à risque, comme le fait de ne pas cliquer sur des liens douteux ou encore de ne pas télécharger de fichiers suspects, etc.
Aujourd’hui, la cybersécurité n’est plus une option, c’est une priorité
- À quelle fréquence recommandez-vous d’organiser des campagnes de sensibilisation à la cybersécurité au cours d’une année ?
- De manière générale, il est recommandé d’organiser au moins deux campagnes de sensibilisation par an, idéalement avant les périodes de congés (en juin et en fin d’année). Ces campagnes jouent un rôle de piqûre de rappel, car c’est durant les vacances que les agents sont les plus susceptibles de commettre des erreurs, comme ouvrir un e-mail piégé, pouvant entraîner l’installation de logiciels malveillants capables d’aspirer les données sensibles stockées sur leur ordinateur.
Des solutions existent, et certaines ne sont pas coûteuses pour les entreprises. Pour environ 30.000 dirhams, il est possible de former jusqu’à 100 collaborateurs. Aujourd’hui, la cybersécurité n’est plus une option, c’est une priorité. Alors que le pays avance à grands pas dans ses chantiers de développement, il est essentiel d’y associer une culture de vigilance et de protection des données. Nous évoluons dans un monde où tout le monde utilise internet, il est donc essentiel de se protéger contre les menaces pouvant en émaner.
- Quels sont les manquements potentiels en matière de cybersécurité dans ce genre de structures ?
- Aujourd’hui, lorsqu’on parle de cybersécurité, il est essentiel d’adopter un véritable état d’esprit axé sur l’analyse et la gestion des risques. En tant que conseillers spécialisés dans ce domaine, nous insistons sur l’importance de cette approche : aucune organisation, aussi avancée soit-elle technologiquement, n’est à l’abri d’une attaque.
Même les grandes entreprises qui développent des solutions de cybersécurité peuvent être vulnérables. L’exemple de CrowdStrike, l’un des leaders mondiaux du secteur et figurant dans le top 10 des éditeurs de logiciels de cybersécurité, en est une illustration frappante. L’an dernier, une simple mise à jour a provoqué une faille qui a affecté leur système d’exploitation. Cela démontre que les risques existent pour tout le monde. Mais ce qui compte, c’est la capacité à les anticiper, les identifier et les gérer. La gestion du risque est aujourd’hui un pilier central de la gouvernance en cybersécurité.
Quand on parle de lacunes potentielles en matière de cybersécurité, notamment dans les établissements d’importance vitale, les principaux problèmes concernent l’absence de gouvernance, l’inexistence de cartographie des actifs critiques et l’utilisation de systèmes obsolètes.
Dans certaines agences de la CNSS, on trouve encore des postes équipés de systèmes d’exploitation datant de 2011, alors qu’il existe des versions bien plus récentes (2018–2019). Lorsqu’un système devient obsolète, il n’est plus couvert par les mises à jour de sécurité de l’éditeur, comme Microsoft. De plus, même les antivirus installés peuvent devenir inefficaces s’ils ne sont pas compatibles avec le système d’exploitation en place. Dans ce contexte, un simple clic sur un lien malveillant peut suffire pour qu’un pirate soutire les données non seulement de l’ordinateur, mais aussi du serveur auquel il est connecté.
Aucune organisation, aussi avancée soit-elle technologiquement, n’est à l’abri d’une attaque
- Quels types de dommages peuvent découler d’un tel incident pour une institution publique comme la CNSS ?
- Lorsqu’un incident de cybersécurité survient dans un organisme comme la CNSS, les conséquences sont multiples, à commencer par le coût financier. Imaginons que des millions de personnes, dont les données personnelles ont fuité, décident d’engager des actions en justice en invoquant la loi 09-08 relative à la protection des données à caractère personnel.
Deuxième conséquence : une perte de crédibilité de l’organisme. Ce manque de fiabilité fait perdre la confiance des adhérents vis-à-vis de l’institution.
Troisième point : les implications juridiques et réglementaires. La CNDP (Commission nationale de contrôle de la protection des données à caractère personnel) peut également ouvrir une procédure et engager des sanctions à l’encontre de la CNSS.
Quatrièmement, un incident de ce type rend le système plus vulnérable. Il peut encourager d’autres attaquants à exploiter la brèche ou à tenter de nouvelles intrusions.
Cinquième et dernier point, l’impact sur la vie privée des citoyens est considérable. Des informations sensibles, comme les salaires, ont été divulguées, ce qui constitue une violation grave. Le fait que certaines personnes partagent ensuite ces données aggrave encore la situation, alors que ces informations sont strictement privées et protégées par la loi.
- Comment évaluer le niveau de maturité en cybersécurité des institutions publiques marocaines aujourd’hui ?
- Pour y répondre, je donne l’exemple du chef du gouvernement qui acquiert un logiciel de cybersécurité qui est remis en question par plusieurs organismes dans le monde, c’est qu’il y a de quoi se remettre en question.
Plus concrètement, j’ai gagné un avis d’achat auprès du chef du gouvernement. Je leur ai conseillé de choisir une solution en particulier et d’éviter celle pour laquelle ils avaient opté. Lorsque j’ai proposé de détailler ces conseils dans un e-mail, on m’a répondu que le choix du logiciel est celui du chef de service. Donc il n’y a pas de maturité. Les gens ne veulent pas adopter une conduite de changement. Avant de parler de transformation digitale, il faut parler d’une transformation de mindset.
- Comment l’améliorer ?
- Lorsqu’on parle de maturité, on parle de ressources qualifiées, d’outils de détection en temps réel conformément aux standards de sécurité, etc. Et on parle aussi de conformité.
Pour renforcer le niveau de maturité en matière de cybersécurité, il est essentiel de mettre en place un cadre national de conformité clair. Il est également indispensable de créer une agence ou un centre national dédié à la cybersécurité, qui travaillerait de concert avec la DGSSI.
Cette dernière ne peut, à elle seule, assurer la sécurité de l’ensemble du territoire et de ses infrastructures numériques. À l’instar de l’ANSSI en France [Agence nationale de la sécurité des systèmes d’information, ndlr], cette entité viendra en appui pour structurer et coordonner les efforts nationaux.
Par ailleurs, il est vivement recommandé que chaque organisme réalise, au moins tous les six mois, une cinquantaine de tests d’intrusion. Ces simulations d’attaques permettent de vérifier la robustesse des systèmes, de détecter les vulnérabilités et de mesurer la réactivité des équipes face à des incidents. Ces tests s’intègrent pleinement dans les campagnes de sensibilisation et contribuent à ancrer une véritable culture du risque et de la prévention.
Il faut un organisme similaire à la DGSSI qui peut faire le travail de régulateur et de gendarme
- Selon les informations publiées par la DGSSI, le Maroc fait partie des pays modèles et donc très bien classé à l’international en matière de cybersécurité. Que pensez-vous, en tant qu’expert, de la position du Maroc ?
- Que ce soit en matière de promotion ou de ressources humaines, le Maroc est excellent en matière de cybersécurité, mais dans le fond, il y a encore du travail à faire. Notre compétence doit être encadrée et canalisée.
Le classement reste quelque chose de relatif. Mais ce qui est inébranlable c’est que la DGSSI est un organisme solide que nous avons au Maroc qui, d’ailleurs, est à dupliquer dans le privé ou dans le semi public. La DGSSI peut donner des conseils, mais ne peut pas protéger tout le monde. Il faut un organisme similaire qui peut faire le travail de régulateur et de gendarme.
- Vous avez dit que toutes les institutions et entreprises, même celles qui éditent des logiciels de cybersécurité ne sont pas à l’abri d’une attaque. Est-ce que cela signifie qu’il n’y a pas de solution 100% sécurisée ?
- Un concept récemment adopté par les organismes internationaux est celui du Zero Trust (confiance zéro), qui repose sur l’idée de ne jamais faire confiance par défaut, même à l’intérieur du périmètre d’un réseau. Ce principe est désormais souvent associé à l’intelligence artificielle, utilisée pour renforcer les logiciels de cybersécurité en détectant les comportements suspects en temps réel.
Cela dit, l’efficacité de ces technologies dépend fortement des compétences disponibles au sein des entreprises. La véritable question à se poser est donc : disposons-nous réellement de compétences en intelligence artificielle au Maroc ? La réalité est que les profils capables de développer des solutions basées sur l’IA sont peu nombreux et, surtout, ils choisissent généralement de partir à l’étranger, attirés par des environnements plus avancés en la matière.
- Dans ce cas, peut-on dire que le recours à l’IA est LE moyen de sécuriser les logiciels de cybersécurité ?
- Bien sûr ! L’IA change la donne de la cybersécurité. Aujourd’hui, un chef d’entreprise peut déployer une solution basée sur l’IA pour sécuriser l’ensemble de l’infrastructure informatique de son organisation. Ces systèmes peuvent analyser en temps réel les cyberattaques survenant dans le monde entier, afin d’adapter les défenses en conséquence.
Mais il faut bien comprendre que cela exige des investissements considérables en matière de ressources humaines, technologiques et financières. D’ailleurs, les dix plus grandes entreprises de cybersécurité dans le monde ont commencé à intégrer l’IA dès 2015. Leurs solutions reposent sur le machine learning, un peu comme des "vaccins numériques" qui s’appuient sur l’analyse des virus pour créer des antivirus.
- Quelle est la place des audits de sécurité réguliers dans ce genre d’institutions ?
- S’agissant du budget d’audit alloué par la CNSS, on parle d’un montant de 2,7 millions de dirhams. Mais des questions subsistent : cet audit a-t-il été réalisé sur l’ensemble du réseau CNSS, ou seulement dans une ville ? On manque d’informations détaillées sur l’étendue de l’intervention. Ce qu’il faudrait, c’est un audit exhaustif de toutes les agences à l’échelle nationale. Rien que sur Rabat-Salé, il existe au moins six ou sept agences.
Enfin, un audit technique seul ne suffit pas. Il est tout aussi crucial d’évaluer le niveau de sensibilisation des agents. Sont-ils formés ? Ont-ils conscience des risques ? Ou se limitent-ils à saisir des données sans prendre de précautions particulières ? La sécurité des systèmes passe aussi, et surtout, par la vigilance humaine.
En matière de gouvernance, les standards ISO 27001 et ISO 27005 constituent des références incontournables. Ils permettent non seulement de structurer la gestion de la sécurité de l’information, mais aussi de conseiller efficacement en matière d’analyse des risques, de gouvernance et de conformité.
- De manière générale, observez-vous une recrudescence des attaques contre les institutions publiques dans le pays ou même dans la région, au cours de la dernière décennie ?
Dans la région MENA, on observe ces dernières années une recrudescence des cyberattaques visant particulièrement les ministères, les administrations fiscales ainsi que des établissements de santé, notamment des hôpitaux.
L’usage de ransomwares devient une arme stratégique dans ce contexte. Cependant, il reste difficile d’avoir des chiffres précis. Seuls les éditeurs de solutions de cybersécurité sont en mesure de fournir des statistiques fiables, notamment sur le nombre d’attaques bloquées. On estime aujourd’hui que certaines infrastructures peuvent faire face à 3.000, voire 5.000 tentatives d’attaques par jour.
Cette dernière décennie a été marquée par une explosion des cyberattaques ciblant les institutions publiques, parfois motivées par des intérêts géopolitiques ou idéologiques. Dans certains cas, des tensions entre États poussent l’un à mobiliser des groupes de hackers, parfois situés dans des pays tiers comme l’Inde ou Taïwan, pour cibler les systèmes sensibles de l’autre.
Ce phénomène s’explique aussi par l’accélération de la transformation digitale et le déploiement massif de services publics numériques qui, s’ils ne sont pas suffisamment protégés, deviennent des cibles vulnérables.
- Quel rôle peuvent jouer les partenariats public-privé dans le renforcement de la cybersécurité ?
- Les partenariats public-privé (PPP) sont indispensables pour dynamiser l’écosystème national, notamment en matière de cybersécurité. Ils permettent de créer des passerelles entre start-up, chercheurs, intégrateurs et institutions, favorisant ainsi une collaboration étroite entre les différentes parties prenantes. Cette synergie contribue au développement d’un véritable état d’esprit de cyberdéfense.
Les PPP peuvent également jouer un rôle clé dans le co-développement de centres de cybersécurité (SOC – Security Operations Centers). Le déploiement de SOC partagés ou managés conjointement par le secteur public et le secteur privé permettrait de renforcer la capacité nationale de détection et de réponse face aux menaces.
Enfin, ces partenariats sont un levier d’accélération de l’innovation. En mettant en commun les ressources, les expertises et les infrastructures, les PPP favorisent l’émergence de solutions technologiques adaptées aux enjeux actuels de la cybersécurité.
à lire aussi
Article : Pratt & Whitney Canada inaugure son usine de moteurs d'avions à Casablanca
Pratt & Whitney Canada a officiellement inauguré, ce mardi 21 avril 2026, sa nouvelle installation au cœur de la zone Midparc à Nouaceur. Détails.
Article : Cuivre. Prix records, projets en cascade… nourrie par les tensions géopolitiques, la ruée vers le Maroc s’accélère
Porté par un cuivre désormais autour de 13.100 dollars la tonne sur le LME et plus de 6 dollars la livre sur le COMEX, le secteur minier marocain entre dans une phase d’accélération. Entre la montée en puissance de Tizert, les ambitions de Managem (jusqu’à 182.000 tonnes en 2026) et l’arrivée de nouveaux acteurs internationaux tel KGHM, le Royaume se positionne comme un relais stratégique dans un marché mondial sous tension, où transition énergétique et dépenses de défense redessinent la hiérarchie des producteurs. Décryptage.
Article : Au SIAM 2026, OCP met en avant sa vision intégrée de l'agriculture et de l'élevage
Le groupe OCP met en avant, à l'occasion du 18e Salon international de l'agriculture au Maroc (SIAM) qui se tient du 20 au 28 avril à Meknès, sa vision intégrée des systèmes agricoles, illustrant le rôle central du phosphore dans l'articulation entre fertilité des sols, production végétale et alimentation animale.
Article : Ligue arabe : Rabat insiste sur une réponse commune aux actions iraniennes
Réuni en visioconférence le 21 avril 2026 à l’initiative de Bahreïn, le Conseil ministériel a examiné les répercussions des tensions régionales. De son côté, le Maroc a réaffirmé son soutien aux États concernés et au respect du droit international.
Article : En visite à Stockholm, Hammouchi formalise un partenariat sécuritaire inédit avec les autorités suédoises
Paraphé lors d’entretiens avec le ministre de la Justice Gunnar Strömmer et les responsables policiers du pays nordique, le dispositif inclut des canaux rapides de coopération opérationnelle et d’assistance technique.
Article : Législatives 2026. Samir Chaouki : pourquoi j'ai choisi le PJD
C’est l’une des investitures les plus commentées de ce premier round PJDiste. En propulsant Samir Chaouki, journaliste de renom et président du think tank OMEGA, dans la circonscription de Hay Hassani, le PJD envoie probablement, comme il l'avait fait par le passé, un signal d'ouverture. Entre rupture avec les méthodes classiques et volonté de transparence, le candidat se confie à Médias24 sur ce nouveau défi.