La cyberattaque ayant visé la CNSS début avril, avec la divulgation de données personnelles, a rappelé l’ampleur des risques numériques. Le 16 avril, à l’occasion du Rendez-vous de Casablanca de l’assurance, Nadia Fettah a annoncé le lancement d’un projet d’assurance dédié au risque cyber. Le gouvernement souhaite structurer un dispositif de couverture pour répondre à une menace devenue systémique.

L’idée d’une telle assurance intervient à un moment où la transformation numérique des entreprises marocaines s’accélère, mais sans toujours être accompagnée des moyens de protection adéquats.

L’ambition de cette initiative est de proposer une réponse concrète à un risque dont l’occurrence n’est plus marginale. Encore faut-il comprendre ce que recouvre cette initiative et dans quelle mesure elle peut répondre aux besoins du marché.

Une assurance déjà disponible, mais réservée à des profils bien préparés

Pour Ainane Abboudi, directeur Marché entreprises chez Allianz Maroc, "la couverture cyber existe déjà au Maroc, mais la prise de conscience du risque et les conditions d’assurabilité restent encore à développer".

"La mise en place d’une telle protection suppose une gouvernance solide et une politique de sécurité de l’information particulièrement avancée", ajoute-t-il.

Actuellement, seules certaines entreprises peuvent réellement accéder à ce type de couverture. "Aujourd’hui, seules les entreprises disposant d’un niveau de maturité élevé en matière de cybersécurité peuvent y accéder pleinement", souligne-t-il.

Les offres disponibles vont bien au-delà d’un simple mécanisme d’indemnisation. "Elles proposent un accompagnement global. Il ne s’agit pas uniquement d’indemniser les préjudices subis – qu’ils soient matériels ou immatériels, affectant les actifs propres de l’assuré ou engageant sa responsabilité – mais également de l’accompagner tout au long du processus de gestion de crise. Cela inclut les frais d’investigation, la restauration des systèmes d’information, la communication post-incident, la reconstruction de l’image et de la réputation, ainsi que la prise en charge des frais supplémentaires d’exploitation, permettant d’assurer la continuité de l’activité".

Il insiste sur le fait que "c’est davantage une offre de services spécialisée qu’un produit d’indemnisation classique".

"Le risque cyber a une portée systémique : au-delà de l’entreprise victime, c’est tout son environnement économique qui peut être affecté. En cas de fuite ou de vol de données personnelles, l’entreprise – tenue de se conformer à la réglementation marocaine, notamment à la loi n° 09-08 relative à la protection des données personnelles – peut être exposée à des impacts importants, tant financiers que réputationnels".

L’annonce faite par les autorités est ainsi accueillie positivement. "Cette annonce marque la volonté des pouvoirs publics d’instaurer un cadre réglementaire ou des standards de référence pour mieux protéger l’ensemble des acteurs économiques".

"Nous ne pouvons que saluer cette initiative et réaffirmer notre engagement à l’accompagner activement, en mobilisant notre expertise, nos solutions et nos capacités internationales".

Et de conclure : "Chez Allianz, un leader mondial de l’assurance, nous sommes pleinement conscients de l’ampleur du risque cyber, confirmé par notre expérience internationale et les résultats de l’Allianz Risk Barometer, qui place ce risque en tête des préoccupations à l’échelle mondiale. C’est pourquoi nous mettons à disposition non seulement des produits d’assurance adaptés, mais aussi une expertise reconnue, des capacités de souscription solides et un accompagnement global, à la hauteur de la nature systémique et complexe de ce type de menace".

Une prise de conscience en progression, mais encore incomplète

L’étude CEO Survey 2025, menée par PwC au Maroc auprès d’une cinquantaine de dirigeants, confirme que le risque cyber fait désormais partie des préoccupations identifiées par les dirigeants des entreprises. Mais cette prise de conscience reste en retrait par rapport à d’autres risques plus visibles comme l’inflation ou les tensions géopolitiques.

Les résultats montrent que 23% des dirigeants marocains se considèrent très exposés au risque cyber, et 42% modérément exposés. Ce niveau de vigilance reste inférieur à celui observé pour le changement climatique ou les conflits internationaux, ce qui laisse penser que le risque cyber est perçu, mais encore sous-estimé dans sa portée réelle.

Le rapport évoque un double impératif technologique. d’un côté, maîtriser le risque cyber pour préserver la valeur de l’entreprise ; de l’autre, intégrer l’intelligence artificielle comme levier de performance. Cette mise en parallèle montre que le cyber n’est plus un sujet purement technique, mais qu’il touche directement à la résilience stratégique des organisations.

Au niveau international, l’étude rappelle que le coût de la cybercriminalité a augmenté de 50% en deux ans, atteignant les 1.000 milliards de dollars, soit plus que la crise des subprimes. Pourtant, seulement 2% des entreprises dans le monde déclarent avoir mis en œuvre l’ensemble des actions jugées essentielles en matière de cyber-résilience.

Dans ce contexte, les dirigeants marocains semblent encore en phase d’observation, bien que de plus en plus conscients de la menace. Le risque cyber n’est plus ignoré, mais il reste souvent abordé de manière fragmentaire, sans véritable stratégie intégrée.

Un chantier encore à structurer, selon les professionnels du secteur

Pour les experts de la cybersécurité, l’idée d’une assurance spécifique contre le risque cyber est pertinente. Mais sa mise en œuvre concrète soulève plusieurs questions, notamment sur la capacité du marché à encadrer efficacement ce type de produit.

"Pour que l’assurance cyber puisse réellement jouer son rôle au Maroc, il faut d’abord que les entreprises prennent conscience de leurs propres vulnérabilités. Le premier enjeu reste organisationnel : disposer d’une gouvernance numérique claire, de moyens de prévention concrets, et d’une capacité à détecter, puis gérer les incidents. L’assurance n’a de sens que si elle vient compléter un dispositif technique et humain déjà en place", explique un assureur.

La structuration du marché reste encore à préciser. Selon cet assureur, il est à ce stade difficile de se prononcer sur les modalités concrètes d’une assurance dédiée au risque cyber, en l’absence d’un cadrage clair. La question d’une éventuelle standardisation ou d’une catégorisation spécifique reste ouverte".

"De leur côté, les entreprises affichent des niveaux de préparation très hétérogènes, ce qui complique toute projection sur la portée réelle de ce futur produit. Il reviendra aux parties prenantes, notamment les assureurs, les autorités de régulation et les acteurs techniques, de clarifier les contours, les conditions et le périmètre de cette offre en construction".

Enfin,  "l’assurance viendra en appui, pour aider à absorber l’impact d’un incident, mais elle ne remplacera jamais une stratégie de cybersécurité ".