Cyberattaques. L'ANCFCC prévoit un audit de sécurité de son système d'information

L'Agence nationale de la conservation foncière et de la cartographie (ANCFCC) a lancé un appel d'offres international pour la mise en œuvre d’un audit de sécurité de son système d'information.

L’annonce publiée le jeudi 19 juin fait savoir que cette prestation vise la mise en conformité de l’Agence avec la directive nationale de la sécurité des systèmes d’information ainsi qu’avec la loi 05-20 relative à la cybersécurité.

Cet appel d'offres intervient après une étude de mise en conformité du système de l’Agence réalisée en 2022 et le contexte actuel de fuites de données foncières ayant affecté la plateforme notariale Tawtik le 2 juin 2025.

Contrairement au test de conformité, l'audit de sécurité permet d'évaluer la robustesse d'un système, de détecter toute trace d'activité malveillante éventuelle et d'identifier le maximum de failles exploitables par une cyberattaque.

Cet audit visera également à vérifier le parfait alignement avec les directives de la Direction générale de la sécurité des systèmes d'information (DGSSI).

Afin d’atteindre cet objectif, le prestataire sélectionné devra effectuer plusieurs tâches, dont l’audit organisationnel, l’audit technique, l'analyse de risques et l’étude BIA (capacité à restaurer les systèmes et les données en cas de défaillance).

Des intrusions par des pirates éthiques pour sécuriser l'ANCFCC

L'audit devra couvrir les systèmes d'information actuellement en fonction au niveau du site central, incluant la Direction de la cartographie ainsi qu’un échantillon de trois services extérieurs qui seront audités.

En premier, il devra réaliser une réévaluation du niveau de maturité du SI et mesurer les écarts avec la norme ISO 27001 et les directives de la DGSSI sur les axes suivants :

• Politique et organisation de la sécurité de l'information ;
• Sécurité liée aux ressources humaines ;
• Sécurités physiques et environnementales ;
• Acquisition, développement et maintenance des systèmes d'information ;
• Gestion des incidents…

L'audit technique constitue l'élément pivot de cette mission. Il permettra une analyse détaillée de la sécurité du système d'information en identifiant les vulnérabilités et risques associés, incluant les intrusions actives (fraudes, accès non autorisés, interception de données sensibles) ainsi que les menaces virales et automatisées.

Il évaluera également la protection du périmètre réseau contre l'exploitation malveillante des plateformes et les attaques externes (amplification d'attaques, relais de spam, déni de service) et mesurera la robustesse des infrastructures internet au regard des principes fondamentaux de sécurité : confidentialité, intégrité, disponibilité et gestion des autorisations.

Deux types de tests d'intrusion sont prévus pour évaluer la sécurité du système d'information de l'ANCFCC dans le cadre de cet audit technique :

• En interne, le prestataire de service devra examiner la sécurité des composants du système d'information. Cela inclut les serveurs et les bases de données, en identifiant leurs vulnérabilités et leurs niveaux de criticité, ainsi que les forces et les faiblesses des dispositifs.
• En externe, l'auditeur devra agir comme un pirate éthique de haut niveau technique. Il mènera des tests techniques à distance, sans aucune connaissance préalable de la structure de la plateforme. Son objectif sera d'identifier et d'exploiter les vulnérabilités par des tests et analyses.

Dans le but d'assurer la sécurité des prestations, la réalisation de ces tests d'intrusion est soumise à l'obtention d'une autorisation préalable de l'agence.

De plus, il est impératif que les consultants proposés soient sélectionnés parmi ceux qui sont qualifiés PASSI et dont le nom figure dans le document d'homologation émis par la DGSSI.

À l’issue de l’audit technique, une analyse des risques permettra d’actualiser la cartographie globale des risques de sécurité. Cette analyse devra respecter les normes ISO 27005, ISO 27001 et son annexe ISO 27002.

Son rôle sera aussi d'identifier et de classer les risques, et de proposer les actions pour les atténuer.

Ce qu’il faut retenir

• Contrairement à ce que prétend le groupe de pirates à l'origine de la fuite de données de Tawtik, l'ANCFCC n'a à ce jour subi aucune cyberattaque.
• L'appel d'offres international lancé par l'institution vise précisément à immuniser au maximum son système d'information contre d'éventuelles attaques.
• Face à l'importance croissante des risques cybercriminels, les experts sondés par Médias24 s'accordent unanimement sur la nécessité d'investir dans des audits techniques de manière périodique.
• Conformément aux recommandations de la DGSSI, l'audit de sécurité de l'ANCFCC requiert l'application des méthodologies les plus récentes pour se prémunir contre les risques cybercriminels.
• Les institutions stratégiques dont dépendent des infrastructures vitales devront se conformer aux directives de la DGSSI.

LIRE AUSSI

Après les attaques, il est temps de changer notre approche de la cybersécurité (expert)

Ce que révèle l’attaque contre la CNSS sur la cybersécurité au Maroc (expert)

À découvrir

Teleperformance : comment le pari boursier de MHE est en train de payer