Après les attaques, il est temps de changer notre approche de la cybersécurité (expert)

Au lendemain de la fuite des données foncières, la question la plus posée est celle de la source de ces données qui ont été divulguées après l’annonce d’un pirate ou d’un groupe de pirates anonyme qui prétend avoir hacké la base de données de l’ANCFCC.

Sollicitée par Médias24, une source sûre nous a dévoilé que la faille venait plutôt de la plateforme des notaires et non pas de celle de l’ANCFCC.

Des milliers de documents ont fuité. Ils comprennent principalement des contrats de vente, des pièces d'identité, des attestations d'enregistrement, des procurations, des donations et des promesses de vente. Ces documents ont été partagés sur deux périodes distinctes.

La première publication survenue après l’annonce de piratage de données, le lundi 2 mai 2025, a permis de divulguer des opérations foncières menées par des personnalités publiques. Ce mardi 3 juin, une seconde divulgation de quelques milliers de documents d’opérations foncières de particuliers signées entre le 27 et le 31 mai 2025, ce qui confirme que l’attaque est très récente.

Alors que l’événement de divulgation des données foncières semble quasiment terminé, il appartient à l’ensemble des institutions marocaines d'augmenter leur vigilance. Toutes nos sources et nos observations nous confirment que c'est le cas.

Contacté par nos soins, Yassir Kazar, expert en cybersécurité et PDG de Yogosha (qui signifie "défenseur" en japonais), une startup française spécialisée dans la mise en relation entre entreprises et hackers éthiques pour tester leurs systèmes informatiques, a analysé pour nous cette cyberattaque qui est loin d'être un cas isolé.

Que s'est-il passé vraiment lors de cette attaque ?

Spécialiste en cybersécurité et en hacking éthique, Yassir Kazar situe cette attaque dans la continuité de celle ayant ciblé la CNSS, opérant selon le même mode opératoire et un timing qui ne laisse pas trop de doute sur son origine. Cette nouvelle offensive survient au lendemain d'une annonce majeure du Royaume-Uni concernant le Sahara.

"Quand on examine le timing de cette fuite de données, on distingue clairement un agenda politique ou géopolitique visant à perturber les communications officielles marocaines", affirme-t-il.

Nous sommes face à un groupe ayant probablement plusieurs cibles potentielles, avec des niveaux de gravité variables

Ce groupe, qui ne peut être qualifié autrement que de cybercriminel, ne mène pas des actions aléatoires. Il s'agit plutôt d'une campagne ciblée, orchestrée non par un individu isolé, mais par un collectif de hackers unis autour d'un objectif commun.

"Nous sommes face à un groupe ayant probablement plusieurs cibles potentielles, avec des niveaux de gravité variables. Leur approche est structurée : ils identifient des sujets sensibles susceptibles de générer des tensions médiatiques", ajoute Yassir Kazar.

Concernant leur méthode d'attaque, similaire à celle employée contre la CNSS, il précise : "Ces attaques se sont très probablement appuyées sur des surfaces d'attaque externes et une combinaison de comptes de connexions récupérés via des infostealers, de failles dans des API ou des interfaces externes ayant permis l'exfiltration des données", estime l'expert.

L'examen post-incident

Au moment où nous rédigions ces lignes, plusieurs attaques ciblaient des multinationales aux quatre coins du monde, malgré leurs systèmes de sécurité avancés. Les cyberattaques sont inévitables, ce qui compte, c'est d'améliorer notre manière d'y répondre.

La première réaction après une attaque est décisive : "Il est essentiel d'éviter toute spéculation hâtive. Bien que des données aient potentiellement fuité, nous devons nous appuyer sur des éléments tangibles : audits techniques, rapports détaillés, analyses de logs, examens de fichiers, études comportementales et horodatages. Ces preuves techniques permettent de valider l'authenticité des données compromises et de reconstituer précisément le déroulé de l'attaque, condition sine qua non pour éviter de reproduire les mêmes erreurs. Cet examen post-incident constitue d'ailleurs un pilier fondamental pour renforcer notre sécurité collective. À l'avenir, ces audits devront devenir une pratique systématique, idéalement menés de manière proactive plutôt qu'en réaction à une attaque", explique Yassir Kazar.

Comment immuniser au maximum les institutions ?

Afin de bâtir une immunité contre ces campagnes de hacking, l'enjeu actuel réside dans la mise en œuvre des dispositifs de la stratégie nationale de cybersécurité 2030. Au moins trois piliers fondamentaux doivent structurer l'approche des organisations marocaines, nous fait savoir Yassir Kazar.

Le premier pilier dépasse la simple sensibilisation : il s'agit d'un véritable transfert de compétences vers l'ensemble des parties prenantes : collaborateurs, équipes techniques, dirigeants et partenaires. Cet entraînement devrait consister à savoir comment répondre à ce genre d'attaques, à les détecter, à les ralentir, à communiquer dessus…

Le deuxième axe exige une intensification des tests réalistes, pentests, bug bounty, red teaming, reflétant les véritables menaces plutôt que de simples exercices de conformité. La résilience implique une refonte des processus : la reprise d'activité, la gestion des backups et la continuité opérationnelle doivent résister aux pires scénarios d'attaque. Sans oublier de colmater les failles révélées par des outils automatiques ou des notes de mises à jour du parc informatique.

Le dernier pilier essentiel pour une cybersécurité robuste repose sur la gouvernance et la communication. En matière de gouvernance, la responsabilité des dirigeants est cruciale. Si le responsable de la sécurité des systèmes d'informations (RSSI) est en première ligne pour rendre des comptes, les PDG et DG doivent prendre et engager leurs responsabilités à présent.

"Tant que les leaders de l'entreprise n'auront pas pleinement intégré que la sécurité est un avantage compétitif et non pas un simple coût, les efforts des équipes opérationnelles resteront limités. Il est absurde d'attendre des équipes terrain qu'elles fassent des miracles si la démarche ne vient pas du sommet. La sécurité doit être initiée par le top management, qui doit montrer l'exemple et s'engager personnellement. Cette vision doit ensuite infuser progressivement à tous les niveaux de l'organisation pour devenir une partie intégrante de sa stratégie, de son fonctionnement et de sa culture", précise M.Kazar, PDG et cofondateur de Yogosha.

Enfin, la communication est une clé pour dissiper la spéculation et la panique.

"Au-delà de la reddition de comptes et de la responsabilité, il est impératif de démystifier la notion de failles de sécurité. Oui, des failles peuvent survenir. L'important est de communiquer en continu lorsque cela se produit. Il faut établir une timeline de communication claire, offrant une visibilité constante sur les investigations en cours et la compréhension de la situation", poursuit l'expert.

"L'objectif n'est ni de minimiser le problème, ni de tomber dans le sensationnalisme. Cette transparence participe à l'effort collectif pour atténuer la panique générale. En effet, dans des moments de crise, le plus difficile est de se retrouver sans explication. Des explications permettent d'apprendre et de s'améliorer. L'absence d'informations, en revanche, laisse place à la spéculation, et la spéculation, génératrice de panique, est toujours une mauvaise conseillère", a conclu Yassir Kazar.

À découvrir

“Mahattat Al Moussafirine”, une nouvelle SDL à Casablanca pour gérer les gares routières